В какой момент компании необходимо отправить персонал на киберучения? Когда достаточно штабных тренировок, а когда необходим цифровой киберполигон? На какой инфраструктуре тренироваться и сколько стоит повышение навыков безопасников?
Введение
Эксперты в студии AM Live поговорили о киберучениях, ценности и целях таких мероприятий в нынешних условиях. Что можно получить от обучения и как определить эффективность этого процесса? На каких площадках следует обучаться и как поддерживать актуальность отрабатываемых сценариев реализации киберугроз?
Рисунок 1. Эксперты по киберучениям в студии Anti-Malware.ru
Спикеры прямого эфира:
- Антон Кокин, директор по инфраструктуре и кибербезопасности, «Трубная металлическая компания»;
- Сергей Гилев, руководитель отдела анализа защищённости, лидер команды APTeam, Angara Security;
- Андрей Кузнецов, технический директор Национального киберполигона, «РТК-Солар»;
- Антон Калинин, владелец продукта (product owner) учебного киберполигона Innostage;
- Елена Молчанова, бизнес-лидер киберполигона Standoff 365, Positive Technologies;
- Станислав Громов, руководитель направления киберучений, центр информационной безопасности компании «Инфосистемы Джет»;
- Александр Пушкин, технический директор компании «Перспективный мониторинг» (ГК «ИнфоТеКС»).
Ведущая и модератор дискуссии — директор по продуктам Security Vision Анна Олейникова.
Инфраструктура киберучений в России
Когда необходимо пройти обучение?
Андрей Кузнецов:
— Как рынок киберучений был молодым два года назад, таковым он и остался. Многие компании до сих пор не понимают, что такое киберучения и как они выглядят. Любые мероприятия, которые направлены на формирование навыков, будь то повышение осведомлённости (Security Awareness) или проверочный фишинг, можно считать киберучениями. Они необходимы тогда, когда центр управления безопасностью в компании ещё не сформирован, но присутствует потребность проверить навыки своих специалистов.
Андрей Кузнецов, технический директор Национального киберполигона, «РТК-Солар»
Елена Молчанова:
— Киберучения с помощью полигона имеют смысл тогда, когда в компании уже отлажен SOC. В этом случае сотрудники уже начали формировать процесс расследования инцидентов и мониторинга киберугроз. Если же в организации, условно, работает один ибэшник, то, наверное, стоит ограничиться на данном этапе штабными учениями.
Станислав Громов:
— Необходимость пройти киберучения зависит от уровня зрелости компании. Последний же зависит в первую очередь от руководителя организации и от того, понимает ли он необходимость развития персонала.
Станислав Громов, руководитель направления киберучений, центр информационной безопасности компании «Инфосистемы Джет»
Александр Пушкин:
— Киберучения — это в первую очередь тренировка людей, противостоящих кибератакам, необходимая для того, чтобы их уровень технической подготовки и взаимодействия между отделами вырос. Подобные учения проходят безопасники и связанные с ними ИТ-службы.
Сергей Гилев:
— Для киберучений всё-таки нужен зрелый процесс реагирования на компьютерные инциденты. Если нет SOC, то можно устроить небольшие учения, которые могут уместиться в рамки комплексного пентеста.
Сергей Гилев, руководитель отдела анализа защищённости, лидер команды APTeam, Angara Security
Антон Кокин:
— Реагирование есть всегда. Этот процесс просто может быть плохо выстроен, даже если в компании нет большого специального штата для этого. Начинаются киберучения тогда, когда компания концентрируется не только на кибербезопасности, но и на комплексном реагировании на инциденты.
Эксперты сошлись во мнении, что компании зачастую не знают, что представляют собой киберучения. Это подтверждают и результаты опроса зрителей AM Live. Большая часть респондентов знает о киберучениях только в теории (56 %). Приходилось участвовать в подобных мероприятиях только 17 % зрителей, а 16 % проводили учения самостоятельно. Ничего не слышали о киберучениях до эфира 6 % опрошенных. 5 % хорошо знакомы с этой темой и использовали внешний сервис для обучения.
Рисунок 2. Насколько вам знакома тема киберучений?
Как оценивать эффективность киберучений и на какой инфраструктуре их проводить?
По мнению экспертов, для оценки эффективности можно замерить скорость реагирования до проведения киберучений и после. Также важно обращать внимание на количество обнаруженных безопасниками инцидентов.
Один из результатов, которого ожидает компания после прохождения обучения, — это выстраивание оптимальной работы в команде при реагировании на инциденты и соблюдение соглашения о качестве (SLA). Организации также заинтересованы в том, чтобы узнавать о новых схемах и тактиках хакеров. Вместе с тем заказчик должен понимать, что он хочет получить от киберучений (обучить первую линию или отработать систему реагирования), отметил Антон Кокин.
Антон Кокин, директор по инфраструктуре и кибербезопасности, «Трубная металлическая компания»
Эксперты также обсудили, на какой инфраструктуре и каким заказчикам стоит проводить киберучения. Например, для того чтобы провести киберучения на собственной инфраструктуре, необходимо пройти долгое согласование в компании, считает Александр Пушкин. По его словам, это будет сопровождаться ограничениями. Работа на полигоне, как правило, имеет гораздо меньше ограничений (нет внутреннего согласования, можно отрабатывать всё, включая атаки шифровальщиков и устранение последствий).
Александр Пушкин, технический директор компании «Перспективный мониторинг» (ГК «ИнфоТеКС»)
Опыт экспертов показывает, что даже базовой типовой инфраструктуры достаточно для киберобучения, если речь идёт о неопытных специалистах. Людей необходимо сначала обучить базовым вещам (что такое файрвол и т. д.), и это быстрый и дешёвый вариант. Для зрелых заказчиков могут создаваться цифровые двойники с учётом средств защиты информации, сетевых потоков и т. д. Однако это долго и дорого. При этом оба способа пользуются спросом.
По данным опроса зрителей, 55 % респондентов готовы проводить обучение на приближенном к реальности цифровом двойнике инфраструктуры. На арендованном типовом киберполигоне готовы проходить обучение 15 %, а на «живой» инфраструктуре — 13 %. Затруднились ответить на этот вопрос 11 % респондентов. 6 % готовы проводить киберучения на упрощённой учебной модели.
Рисунок 3. На чьей инфраструктуре вам хотелось бы проводить киберучения?
Зачем тратить ресурсы на специальные киберучения?
Одни эксперты думают, что киберучения во время постоянных кибератак можно отложить, однако нельзя отказываться от них совсем. Другие уверены в необходимости учений, так как цена атаки, которая может случиться один раз в год, слишком высока (это финансовые и репутационные риски, в первую очередь). Поэтому необходимо быть готовым к кибератакам. Сейчас компании действительно много тренируются на реальных инцидентах, но те не длятся бесконечно, и в перерывах можно повышать свои навыки, потому что хакеры всегда совершенствуются и ищут новые способы проникновения.
Большинство (44 %) зрителей AM Live считают, что значимость киберучений возросла, а 24 % — что она не изменилась. При этом 20 % не смогли выбрать подходящий ответ, а 7 % полагают, что в нынешней ситуации совсем не до этого и обучение можно проводить на реальных событиях. Ещё 5 % считают, что значимость киберучений снизилась.
Рисунок 4. Насколько оправданно проводить киберучения именно сейчас (в период интенсивных кибератак)?
Технологии киберучений
Специфика киберполигонов и актуальность сценариев атак
Ведущая дискуссии Анна Олейникова предложила присутствующим задуматься над темой специфики киберполигонов для разных заказчиков. В 90 % случаях специфические отраслевые полигоны не нужны. Задачи связанные с исследованиями или промышленными предприятиями характерны только для отдельных конкретных заказчиков, под которых и строятся эти полигоны.
Анна Олейникова, директор по продуктам Security Vision
Подавляющее большинство кибератак направлены на офисную инфраструктуру. О специализированных полигонах, впрочем, можно говорить в разрезе автоматизированных систем управления технологическим процессом (АСУ ТП). При этом, по словам Елены Молчановой, хакеров, которые специализируются на АСУ ТП, очень мало, но цена успешной атаки на такие системы баснословна. Поэтому обязательно необходимо отрабатывать такие сценарии, считает эксперт.
Елена Молчанова, бизнес-лидер киберполигона Standoff 365, Positive Technologies
При отражении кибератак и прохождении обучения важно знать актуальные хакерские сценарии — последовательности действий нарушителей при проведении кибератак. Это обеспечивается путём мониторинга мировых трендов и новых кибератак, разбора поведения хакеров. Компании также используют отчёты по киберинцидентам для актуализации базы сценариев.
Какую же пользу заказчики ожидают получить от прохождения киберучений? Согласно опросу зрителей, подавляющее большинство (58 %) хотят повысить навыки своих сотрудников. Обнаружить слабые места в защите хотят 19 % респондентов, а отработать взаимодействие в команде — 16 %. Затруднились ответить на этот вопрос 7 % опрошенных.
Рисунок 5. Какую главную пользу вы ожидаете получить от киберучений?
Присутствующие также подняли тему стоимости обучения. Для того чтобы определить её, нужно поделить курсы на две категории: базовые и индивидуализированные киберучения. Если говорить о первой группе, то цена соизмерима с обычным обучением (500 тыс. руб. на всю группу участников). В течение одного-двух дней процесс обучения можно подготовить. Тренировка же занимает от одного до трёх дней, отметил Антон Калинин.
Антон Калинин, владелец продукта (product owner) учебного киберполигона Innostage
Если говорить об индивидуализированных решениях и цифровых двойниках, то цена зависит от запросов заказчика. На стоимость также влияет соотношение теории и практики в курсе.
Итоги эфира
Финальный опрос зрителей AM Live на тему «Каково ваше мнение относительно киберучений после эфира?» показал, что большинство зрителей (37 %) заинтересовались киберучениями и готовы их пробовать. Каждому четвёртому респонденту участники не смогли доказать необходимость киберучений. 19 процентам опрошенных это интересно, но пока кажется избыточным. Ещё столько же зрителей уже проводят учения и планируют повышать их интенсивность.
Рисунок 6. Каково ваше мнение о киберучениях после эфира?
Выводы
Киберучения — это не только инструмент проверки команды на готовность отражать кибератаки (мониторинг, реагирование, патчинг). Также это — возможность выбора и испытания продуктов по кибербезопасности.
Количество и качество кибератак растут, поэтому ИБ-командам в компании следует всегда повышать свои навыки. Это можно делать не только с помощью реальных атак, но и на цифровых киберполигонах. Цена реализованной угрозы слишком велика, поэтому сценарии атак следует отрабатывать заранее.
Проект AM Live на этом не останавливается. На следующей неделе эксперты отрасли снова соберутся в студии и обсудят самые острые темы российского ИБ-рынка. Будьте в курсе трендов и важных событий. Для этого обязательно подпишитесь на наш YouTube-канал. До новых встреч!