Киберучения и киберполигоны — понятия для отечественного ИБ-рынка относительно новые. Является ли отработка навыков отражения направленных атак реальным инструментом информационной безопасности или интерес к ней обусловлен в первую очередь возможными действиями регуляторов — рассуждают представители вендоров, системных интеграторов и заказчиков таких решений и услуг.
- Введение
- Какие бывают киберучения
- Можно ли провести киберучения самостоятельно
- Как провести киберучения с минимумом затрат
- Как подготовиться к неизвестным атакам
- Выводы
Введение
В ноябре–декабре 2020 года Банк России провёл киберучения для ряда российских банков. По их результатам финансовые организации получили оценку готовности к отражению кибератак и рекомендации по совершенствованию процедур безопасности. Банк России планирует сделать подобные киберучения обязательными, не исключено, что вскоре практика отработки навыков по борьбе с направленными атаками появится в требованиях и других регуляторов. Чтобы разобраться, что такое киберучения, как работают киберполигоны и какие преимущества для организаций несут такие мероприятия, мы пригласили ведущих экспертов в этой области, представителей вендоров, системных интеграторов и заказчиков в прямой эфир онлайн-конференции AM Live.
В студии Anti-Malware.ru собрались:
- Павел Волчков, заместитель директора центра информационной безопасности компании «Инфосистемы Джет».
- Анна Олейникова, заместитель директора по развитию направления «Национальный Киберполигон» компании «Ростелеком-Солар».
- Сергей Нейгер, менеджер по развитию бизнеса компании «Перспективный мониторинг» (ГК «ИнфоТеКС»).
- Алексей Новиков, директор экспертного центра безопасности Positive Technologies.
- Никита Медведев, начальник отдела защиты от киберугроз в Газпромбанке.
Модератор встречи — Алексей Лукацкий, бизнес-консультант по безопасности Cisco.
Какие бывают киберучения
Беседу начали с определения основных понятий. По просьбе ведущего Алексей Новиков рассказал, что же такое киберучения и какие формы таких мероприятий существуют.
Как пояснил эксперт, понятия «киберучения» и «киберполигон» на данный момент не имеют чётких границ — нередко под ними подразумеваются разные вещи. Исторически киберучениями называли «бумажные», командно-штабные учения. Такие мероприятия, собирающие представителей разных компаний, в большей степени направлены на выявление индивидуальных навыков, а киберучения в первую очередь нужны для тренировки командной работы. Иногда киберучениями называют СТF-турниры — командные соревнования по информационной безопасности в формате Capture the Flag. Однако они скорее направлены на получение новых знаний и навыков в области ИБ, но не на отработку действий по обеспечению безопасности организации.
Наконец, наиболее совершенный вариант киберучений — это эмуляция реальной атаки на инфраструктуру максимально приближенную к той, которой владеет компания. Такие учения сложно организовать, они требуют большой материально-технической базы и специализированной программно-аппаратной платформы. В процессе отражения тестовой атаки сотрудники организации могут получить новые навыки и отработать скоординированную работу по реагированию на инцидент.
Сергей Нейгер добавил, что плохих форм киберучений не бывает, любая активность, где сотрудник получает новые знания или оттачивает навыки в области информационной безопасности, принесёт пользу компании.
Анна Олейникова предложила сначала дать более чёткое определение киберучений, а уже потом говорить о формах и типах. Для этого эксперт обратилась к тезисам международных аналитических агентств и регуляторов. Согласно этим источникам, киберучения — это тренировка навыков необходимых для отражения атак. Второй компонент — это моделирование нештатной ситуации, а третий — ограничения, которые максимально приближают тренировку к реальности.
Существуют два типа учений — теоретические и функциональные. Теоретические, или «tabletop», учения направлены на обсуждение организационных задач и тренировку практики принятия управленческих решений. К функциональным учениям подключаются технические специалисты, которые при помощи смоделированной среды отрабатывают действия при возникновении инцидента. Комплексный вариант — гибридные киберучения, которые затрагивают и управленческий персонал, и технический.
Ещё один способ классификации киберучений — по масштабу:
- Объектные — отрабатывается атака на конкретное предприятие.
- Отраслевые — для моделирования нападения на несколько компаний с одной сферой деятельности.
- Кросс-отраслевые.
- Региональные, международные и межгосударственные.
Рисунок 1. Типы киберучений
Модератор дискуссии Алексей Лукацкий уточнил, что штабными учениями называют отработку действий в случае нештатной ситуации на уровне регламентов в одной компании. Следующий уровень таких мероприятий — игры рассчитанные на участие нескольких команд.
Павел Волчков подчеркнул, что, по его мнению, киберучениями можно называть любые мероприятия, которые повышают готовность персонала к противодействию угрозам. Эксперт считает, что в противном случае необходимо будет изобретать новые термины для всех видов тренировок, не подпадающих под относительно узкое определение.
Отвечая на вопрос ведущего о том, можно ли считать киберучением Red Teaming (имитацию атаки силами пентестеров), Никита Медведев сказал, что на его взгляд такое определение корректно. Это — плановое мероприятие, имеющее все признаки киберучения. Оно предполагает обучение и отработку навыков, влечёт за собой оценку итогов, а также предполагает взаимодействие команд.
Большинство зрителей конференции AM Live ещё не принимали участия в киберучениях. Об этом свидетельствуют результаты опроса, проведённого во время прямого эфира. Почти три четверти опрошенных — 72 % — не сталкивались лично с CTF, киберполигонами и другими типами киберучений. При этом 26 % участвовали в подобных мероприятиях по своей воле, а 2 % делали это по требованию регуляторов.
Рисунок 2. Участвовали ли вы в CTF, киберполигонах или иных киберучениях?
Можно ли провести киберучения самостоятельно
Разобравшись с терминологией и определением, участники дискуссии обсудили следующий вопрос, предложенный Алексеем Лукацким: может ли компания самостоятельно провести киберучения, не привлекая к этому процессу поставщика специализированных решений или консультантов-фасилитаторов?
Эксперты не пришли к единому мнению. С одной стороны, самостоятельное тестирование системы безопасности влечёт за собой риск получения необъективных результатов. Не все руководители готовы адекватно оценить уровень работы своих подчинённых. Оценка со стороны, «незамыленным» взглядом, в большинстве случаев будет более показательной.
С другой стороны, некоторые типы киберучений можно попытаться провести собственными силами. В больших, зрелых организациях регулярно проходят различные внутренние проверки, существуют службы внутреннего аудита, независимые от других подразделений. Киберучения можно включить в число стандартных процедур таких департаментов, специально создаваемых для того, чтобы обеспечить взгляд на проблему со стороны.
Решающее значение в принятии решения о самостоятельном проведении киберучений имеют зрелость компании и её готовность к такому шагу. Вот ключевые вопросы, которые могут возникнуть на этом пути:
- В состоянии ли компания развернуть копию инфраструктуры, на которой будут проводиться учения?
- Готова ли компания провести учения на «живой» системе?
- Кто будет атаковать? Необходимо ли привлечение специализированных компаний? Как в ходе тестовой атаки имитировать «творческий» процесс, свойственный настоящему хакеру?
- Возможна ли имитация атаки силами привлечённых хакеров? Насколько это безопасно?
Стоит отметить, что проведение атаки на реальной инфраструктуре сопряжено с большими рисками, особенно если речь идёт о производстве с потенциальной угрозой для жизни и здоровья людей. В ряде случаев подобное вмешательство в работу критических систем просто запрещено.
Аудитория прямого эфира также разошлась во мнениях по поводу необходимости привлечения внешнего поставщика услуг для киберучений. Два противоположных мнения — «Всё можно сделать своими руками» и «Лучше отдать всё на аутсорсинг» — набрали 23 % и 28,5 % голосов соответственно. Ещё 28,5 % опрошенных проголосовали за вариант «Лучше купить готовое решение / услугу». Затруднились с ответом 20 % респондентов.
Рисунок 3. На ваш взгляд, можно ли провести киберучения самостоятельно или нужно привлекать внешнего поставщика услуг?
Как провести киберучения с минимумом затрат
Если с вариантами проведения киберучений в крупных компаниях существует относительная ясность, то каким образом подходить к этому вопросу без большого бюджета — не всегда понятно. Мы попросили спикеров онлайн-конференции порассуждать, как отрабатывать реагирование на инциденты в небольших организациях.
Павел Волчков:
— Я бы предложил таким компаниям комбинацию штабных учений и отработку навыков реагирования на базовые угрозы на типовых инфраструктурах. Важно регулярно тестировать имеющиеся планы действий в случае ИБ-происшествия.
Алексей Новиков:
— Небольшой или незрелой компании в первую очередь необходимо ответить на вопрос: зачем ей нужны киберучения? Каких целей организация планирует достичь через них? Ответы во многом определят способы реализации и помогут поставить задачу специализированной компании.
Сергей Нейгер:
— Очень хороший эффект даёт формат кибер-квеста — пошаговый разбор сценария кибератаки. Если людям всё подробно объяснить, показать пути развития, рассказать о том, что можно почитать по теме, то результаты будут сразу видны.
Никита Медведев:
— Многое зависит от «уровня незрелости» компании. Если в организации вообще нет специалиста по ИБ, то вряд ли ей нужно задумываться о киберучениях. Если такой человек один, то для его тренировки лучше просто заказать пентест. Если же ИБ-департамент существует, то одним из возможных вариантов отработки навыков его сотрудников станет участие в одном из полигонов для атак на копии реальных инфраструктур.
Анна Олейникова:
— В первую очередь необходимо определиться с целями проведения киберучений. Для их выявления существует специальная методология. В ряде случаев до киберучений в организации полезно провести аудит безопасности, чтобы выявить слабые места, защиту которых позже отработать на тренировках.
Представители вендоров, присутствовавшие в студии Anti-Malware.ru, кратко рассказали о своих системах и услугах, а также обозначили их примерную цену. Как отметили спикеры, стоимость проведения киберучений или предоставления программного обеспечения для развёртывания полигона стартует от 5–7 млн рублей. Существенно повлиять на эти цифры может индивидуализация средств защиты, а также любая заказная разработка.
А что бы хотели приобрести у поставщика услуг по проведению киберучений зрители онлайн-конференции AM Live? Отвечая на этот вопрос, 33 % нашей аудитории предпочли готовую платформу с набором сценариев. Ещё 31 % респондентов нужна методичка, объясняющая, как провести киберучения без привлечения сторонних специалистов. Набор сценариев для самостоятельного проведения тренировки заинтересовал бы 23 % опрошенных. И, наконец, 13 % зрителей остановились бы на аренде облачной платформы для проведения учений.
Рисунок 4. Что бы вы хотели приобрести у поставщика услуг по проведению киберучений?
Как подготовиться к неизвестным атакам
Киберполигоны и услуги по организации киберучений чаще всего предполагают отработку типовых, пусть и доработанных под заказчика, сценариев атаки. Мы узнали у спикеров прямого эфира нашей конференции, как подготовить организацию к нестандартным действиям хакеров.
В первую очередь эксперты предложили попробовать учения в формате «stand-off» — когда цели на киберполигоне атакуют живые люди, а не алгоритмы. В этом случае всегда возникают неожиданные ситуации, не предусмотренные изначальным планом. Как отметили наши спикеры, решение типовых сценариев — это аналог школьного ЕГЭ. При этом невозможно предусмотреть все нештатные ситуации, но можно подготовить специалиста к реакции на них — наработать навыки реагирования на «ожидаемые неизвестные» ИБ-события.
Как отметили гости студии, многое зависит от подхода: большинство платформ направлены на тренировку технических навыков, однако отработке организационного взаимодействия и управленческих решений уделяется меньшее внимание. Хорошим методом отработки действий при нештатных ситуациях могут стать киберучения в формате длительного пентеста, который поможет создать дополнительное давление на ИБ-службу и научит правильно действовать в режиме реальных атак.
В этом контексте интересно мнение зрителей онлайн-конференции, 72 % которых отдают предпочтение техническим киберучениям и только 28 % считают, что лучше проводить командно-штабные мероприятия.
Рисунок 5. Что лучше — штабные или технические киберучения?
Собравшиеся в студии эксперты подчеркнули важность позиции регулирующих органов по вопросам киберучений. Основываясь на собственной информации, спикеры подтвердили, что органы госконтроля рассматривают возможность проведения отраслевых и межотраслевых киберучений, а также регламентации этого процесса для ряда компаний. Наши гости отметили, что ждут от государства практических рекомендаций, и выразили уверенность, что будут готовы им соответствовать. Желательно, чтобы это был сбалансированный документ, поскольку слишком подробное руководство быстро устареет, а слишком общие формулировки снизят практическую значимость регламента.
Итог обсуждению подвели зрители прямого эфира, ответив на вопрос о том, изменилось ли их мнение относительно киберучений по результатам дискуссии. Высокий уровень онлайн-конференции отметили 41 % респондентов, сообщившие, что они заинтересовались темой киберучений и попробуют протестировать этот инструмент. Примерно столько же — 42 % опрошенных — также нашли информацию о киберучениях полезной, однако считают, что их компаниям такие мероприятия пока не нужны. Видят в киберучениях «хайп», а не реальный ИБ-инструмент, 6 % наших зрителей, и ещё столько же отметили, что спикеры не смогли донести до аудитории преимущества обсуждаемых тем. Оставшиеся 5 % участников опроса не поняли, о чём шла речь во время эфира.
Рисунок 6. Каково ваше мнение относительно киберучений после эфира?
Выводы
В заключение беседы мы попросили наших экспертов сформулировать ключевые советы для компаний, которые задумываются о проведении киберучений. Получилась своего рода квинтэссенция всей дискуссии, которая может быть использована в качестве руководства к действию.
Никита Медведев:
— Прежде чем провести киберучения, компании стоит понять, для чего нужна такая тренировка и насколько регулярно её требуется проводить, а также наладить типовые процессы реагирования на инциденты.
Алексей Новиков:
— Рекомендую в первую очередь определиться с целями киберучений, а также постараться обеспечить максимально честную и непредвзятую оценку этого мероприятия. Для первого раза советую действовать «по бразильской системе» и провести учения по максимальной программе — это поможет увидеть общую картину и начать детализировать план работ.
Сергей Нейгер:
— Внимательно отнеситесь к выбору центра проведения киберучений. Заказчик должен доверять поставщику услуг, понимать, что партнёр даст адекватную оценку результатам мероприятия и сформулирует грамотные рекомендации. Не забывайте также, что не бывает плохих форм развития навыков отражения кибератак — используйте все доступные методы.
Анна Олейникова:
— Заказчику киберучений необходимо донести до поставщика услуг информацию о той инфраструктуре, которая наиболее важна для компании в данный момент времени. Информация о критических объектах, известных слабых местах контура безопасности, предполагаемых сценариях атак поможет повысить качество предстоящих учений.
Павел Волчков:
— Постарайтесь трезво оценить свои силы, возможности по затратам времени и денег. Я бы посоветовал всё же начинать с малого, выбрать отдельный участок и двигаться последовательно, понятными и конкретными шагами. Смотрите на практику киберучений максимально широко, перенимайте опыт других отраслей, например разработки и тестирования ПО, многие методологические вопросы там проработаны достаточно подробно.
Сезон конференций AM Live продолжается, и мы запланировали ещё немало встреч с различными экспертами в студии Anti-Malware.ru. Чтобы не пропускать прямые эфиры, участвовать в дискуссиях и оперативно узнавать о появлении новых материалов, подпишитесь на наш YouTube-канал и включите уведомления. До встречи в эфире!