Интервью с Алексеем Новиковым, директором экспертного центра безопасности Positive Technologies (PT Expert Security Center)

Алексей Новиков: Киберучения на “живой” инфраструктуре — прерогатива зрелых систем ИБ

Алексей Новиков: Киберучения на “живой” инфраструктуре — прерогатива зрелых систем ИБ

Алексей Новиков

Директор экспертного центра безопасности (PT Expert Security Center) Positive Technologies

Имеет профильное образование по специальности «Компьютерная безопасность», ведёт авторский курс по расследованию и реагированию на киберинциденты в МГТУ им. Баумана и авторский курс для Skolkovo Moscow School of Management. Постоянный участник таких мероприятий, как SOC Forum, CyberCrimeCon, International Cybersecurity Congress и др., входит в программный комитет одного из крупнейших международных форумов по практической кибербезопасности Positive Hack Days. Спикер TEDx Russia.

Кибербезопасность в жизни Алексея присутствует больше 20 лет. За это время он прошёл путь от инженера первой линии центра мониторинга информационной безопасности до топ-менеджера, изучил особенности деятельности десятков хакерских группировок, создавал и возглавлял команды по противодействию кибератакам в государственных и коммерческих организациях, работал в национальном CERT, участвовал в создании и становлении государственной системы обнаружения и предупреждения компьютерных атак и ликвидации их последствий (ГосСОПКА) от разработки нормативно-методологических документов до создания систем детектирования хакеров и их активности.

К команде Positive Technologies присоединился в 2016 году, создал и сейчас возглавляет одну из самых больших (более 100 человек) в России специализированных коммерческих экспертных команд, которая защищает крупнейшие государственные и коммерческие компании, а также инфраструктуру таких событий, как выборы Президента РФ или чемпионат мира по футболу. Под руководством Алексея расследовались атаки таких известных по всему миру группировок, как Cobalt, Lazarus или Silence, ущерб от деятельности которых исчисляется миллионами, а также АРТ28, Maze, Sodinokibi, Netwalker, Nefilim, DoppelPaymer, Snake, RansomEXX, Conti и других; впервые была выявлена активность известной группировки АРТ 31 в России. В ряде случаев команде Алексея удавалось предсказывать и предотвращать атаки известных группировок (как это было в случае с атаками группировки RTM), а иногда — и вовсе прекращать их деятельность на техническом уровне.

...

Как на волне массированных кибератак сохранить уверенность в том, что твоя компания готова достойно отразить внешнюю киберагрессию? Например, провести киберучения на «живой» инфраструктуре и проверить её устойчивость к атакам. Кому показано проведение подобных учений и в чём их отличие от других способов проверить готовность своих средств защиты информации? Об этом нам рассказал Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center).

Алексей, приветствую. Самый первый вопрос: каковы цель и значение тех открытых киберучений, которые вы сейчас проводите?

А. Н.: Я начну издалека: мы выстраиваем информационную безопасность с точки зрения недопустимых событий. Тех, которые могут нанести непоправимый ущерб компании.

У нас таких событий четыре. Первое — это внедрение кода в наши продукты, то есть проникновение через цепочку поставок. Никто не хочет повторять историю SolarWinds, а мы — особенно, учитывая то, какое у нас количество клиентов. Далее — кража крупных сумм со счетов компании. Ещё одно — получение доступа к конфиденциальной информации, которая касается наших внутренних исследований. Последнее, четвёртое, — использование инфраструктуры компании для атаки на наших партнёров в рамках установленных доверительных отношений.

Мы выявили ключевые и целевые системы, а также установили, кто именно из сотрудников с ними работает. После этого настроили мониторинг, реагирование, подключили свои продукты и активировали защиту.

Далее для регулярной проверки средств защиты информации на прочность мы постоянно ставили перед собственной командой атакующих (нашими пентестерами) задачу атаковать нас с позиции внешнего и внутреннего злоумышленника. Естественно, они как никто знают нашу структуру и инфраструктуру, так что это был классический Red Teaming. И в какой-то момент они заверили нас, что реализовать недопустимые события очень сложно.

После этого мы начали приглашать на киберучения сторонние команды. Только за 2021 год шесть команд последовательно атаковали нашу инфраструктуру. Целью было убедиться, смогут ли они реализовать недопустимые события, а также проверить, насколько успешно функционирует наш SOC и система информационной безопасности в целом. После каждых таких киберучений мы делали «работу над ошибками» там, где их находили, и перестраивали подходы к защите.

Те киберучения, которые у нас идут прямо сейчас, проходят с участием зарубежной команды. Мы уже видели в действии все лучшие российские команды и на этот раз приняли решение пригласить зарубежную — казахскую команду TSARKA, у которой весьма впечатляющий послужной список на The Standoff и PHDays (несколько последних лет вы наверняка их там видели в действии). Они атакуют нас с августа. Перед ними поставлены чёткие цели — реализовать недопустимые события, — а также ряд дополнительных и очень конкретных задач. Одна из них — перевести определённую сумму денег между счетами компании; другая — внедрить код в действующий процесс выпуска наших продуктов, и если он там оказался, значит, атака на цепочку поставок удалась. Кроме этого, атакующие должны предоставить нам отчёты о своих действиях в определённом виде: что они нашли и в каком количестве.

В этом отношении данные киберучения очень отличаются от Red Teaming или тех учений, что проводятся на полигонах.

Получается, что этими киберучениями вы демонстрируете рынку, как всё должно работать. Все процессы кибербезопасности выстраиваются вокруг недопустимых событий.

А. Н.: Безусловно. В нашей парадигме именно киберучения — единственная возможность проверить систему информационной безопасности. При этом киберучения — не «искусственные», когда атаки, грубо говоря, происходят только в рабочие дни с 9 до 5 с перерывом на обед (потому что все сотрудники обедают и им некогда заниматься реагированием). Или когда производится атака только на отдельные продуктивные системы. Или когда атакуются все системы, но только в ограниченное время, например в технологические окна. Скажем, раз в неделю, с 2 до 4 часов ночи со вторника на среду происходят установки обновлений для Windows, и именно в это время параллельно с установками разрешают провести атаки.

И вот такая постановка задач для киберучений, пентеста или же Red Teaming абсолютно бессмысленна с точки зрения эффективности информационной безопасности, потому что ни один хакер не будет предупреждать о том, когда он нападёт, или вписываться в ваш график.

Если система подключена к интернету, атака может начаться в любой момент. Поэтому самая главная задача — построить результативную систему информационной безопасности и убедиться в её действенности. Мы не боимся взлома; на самом деле, нам даже интересно выяснить, как можно (и можно ли в принципе) проникнуть за наш сетевой периметр и завладеть нашими ресурсами.

Метрики, которые мы используем, — это «time-to-detect» и «time-to-response». Ключевым показателем является то, насколько далеко атакующий сможет продвинуться на пути к реализации недопустимого события. Мы хорошо знаем, сколько шагов потребуется злоумышленнику для этого внутри нашей инфраструктуры. Самый главный KPI у нашего SOC –– «выбить» атакующего из инфраструктуры прежде, чем он окажется в одном шаге от реализации недопустимого события.

Другой важный момент состоит в том, что о старте киберучений не предупреждается ни SOC, ни департамент ИТ, ни кто бы то ни было ещё в компании.

А бывали ли какие-то нештатные ситуации во время предыдущих или текущих киберучений? Приходилось ли реагировать, исправлять что-то прямо на ходу?

А. Н.: Киберучения — вызов не только для нас, но и для команды атакующих. Мы открыто говорим им о том, что будем активно реагировать — отслеживать их и блокировать. Никаких исключений для их IP-адресов. Да, в этом смысле у нашей внутренней Red Team есть «карт-бланш»: в любой момент они со своей рабочей станции либо извне могут совершать любые действия в отношении нашей инфраструктуры. Наш SOC должен их обнаружить, и если есть подозрение, что это — они, с ними связываются.

Внешняя команда пытается максимально точно эмулировать APT-атаки, и одна из их задач — в том, чтобы как можно дольше пробыть в инфраструктуре незамеченными. Когда действия атакующих вызывают отказ в обслуживании — падает сервис или возникает ещё какая-то нештатная ситуация, — это всегда привлекает лишнее внимание к их действиям. Поэтому они пытаются всячески исключать подобные ситуации: в их интересах оставлять минимум следов горизонтального перемещения внутри инфраструктуры.

Каких-то нештатных ситуаций или тем более аварий во время киберучений у нас не было. Мы стараемся выбирать сильные команды, которые чётко знают, что и как нужно делать и какие последствия это может вызвать. Например, они не будут использовать непроверенные эксплойты, даже RCE, так как в результате вместо доступа к консоли можно получить «синий экран».

Как эти учения, что вы сейчас у себя проводите, связаны с The Standoff 365?

А. Н.: The Standoff 365 — это площадка, где есть платформа Bug Bounty. Туда выведены наши ресурсы, запущенные в производство, и все зарегистрированные на площадке исследователи могут участвовать в этой программе. Но киберучения на «живой» инфраструктуре к этой площадке никак не привязаны. Для нас они — своеобразное финальное тестирование себя и своей защиты. Мы для себя решили, что «подогреем» ставки и в этом году объявим на площадке The Standoff 365 программу Bug Bounty для всей инфраструктуры компании Positive Technologies. Идеей будет не просто найти уязвимость, а реализовать недопустимое событие за солидное денежное вознаграждение.

А как вы поощряете команду атакующих в рамках текущих киберучений? Также денежным вознаграждением?

 А. Н.: Да, за каждое реализованное недопустимое событие они получают дополнительное вознаграждение.

Премия персональная?

А. Н.: Нет, это премия для команды. Мы также договорились с ними о публичном освещении их деятельности, и я уверен, что это — тоже мощный фактор мотивации для них. 

На самом деле, каждая высококлассная команда ведёт статистику успешных пентестов и успешных работ в Red Teaming и киберучениях. Существует личный рейтинг: например, наша команда в течение года практически в 100 работах из 100 «брала» контроллер домена. Вообще мы движемся к тому, что будем публично освещать результаты киберучений. Например, команда Х не справилась с заданием, команда Y была в двух шагах, а команда Z не прошла дальше периметра — это может быть полезно и для тех, кто только решает, какой команде доверить пентест, редтиминг или киберучения.

Прорабатываете ли вы со стороны защиты попутно ещё какие-то гипотезы по тому, куда будет направлен вектор атаки?

А. Н.: Да, эту задачу мы выполнили достаточно давно, ещё на старте работ по перестраиванию своей системы информационной безопасности. Сейчас я с уверенностью могу сказать, что у нас в компании считаное количество точек проникновения и мы их контролируем. Первый вектор — это эксплуатация уязвимостей в веб-приложениях, таких как «1С-Битрикс», где периодически находят новые бреши. Второй вектор — уязвимости в других сервисах, которые опубликованы у нас на периметре: например, Microsoft Exchange, VPN и ряде других. И, конечно, «социалка», фишинг — традиционно самые действенные способы. Например, на предыдущих киберучениях наших сотрудников «социалили» так: представлялись кандидатом на трудоустройство и присылали резюме только через Telegram. Также был случай, когда сотруднице компании прислали на согласование статью, написанную якобы по итогам PHDays. Если перечислять векторы дальше, то речь пойдёт уже о необходимости физического приближения к нашему офису — например, атаки через Wi-Fi.

Кажется, был такой случай, когда вы кого-то поймали?

А. Н.: Было и такое. Участник одной из команд атаки приехал к нам в бизнес-центр и прямо с первого этажа пытался подключаться к корпоративному Wi-Fi. Лично я его заметил случайно: шёл мимо за кофе, а у него на экране была открыта очень специфическая консоль, и никаких тонирующих наклеек, так что видно было издалека. Как только наш SOC зафиксировал попытку подключения к Wi-Fi и заблокировал её, я сообщил товарищу, что ему — «двойка» и что он может идти домой. Руководитель его команды, конечно, был недоволен столь прямым контактом «защиты» и «нападения». Но тут уж как в жизни. Мог хотя бы направленную антенну использовать и поработать с соседней улицы или из машины с парковки — всё было бы интереснее. 

Можно ли подкидывать физические носители?

А. Н.: Можно, только пока никто этого не делал.

Расскажите всё-таки ещё об отличии текущих киберучений от Red Teaming, потому что многие моменты из тех, что вы упомянули, очень близки. Складывается впечатление, что можно с тем же успехом нанять команду для Red Teaming. Она так же будет работать, на выходе так же будет результат в виде отчёта. В чём здесь основная особенность?

А. Н.: Если мы говорим о классическом Red Teaming, то в большинстве случаев это — внутренняя команда, которая постоянно тестирует SOC. Это первое. Следующее отличие — в постановке целей. В рамках Red Teaming обычно ставят задачу взломать «свежеопубликованный» сервис или протестировать какое-то новое решение. В киберучениях на действующей инфраструктуре цель — в реализации недопустимых событий. Заcчитываются, например, только фактические переводы денег, подтверждённые скриншотами. 

Во время киберучений мы разрешаем команде атакующих реализацию конкретных недопустимых событий (и даже требуем её).

Таким образом мы проверяем не только техническое оснащение нашей компании и службы информационной безопасности, но ещё и выстроенные процессы, потому что определённые угрозы у нас, как и везде, закрыты регламентными мерами. Есть множество организационных процедур, контроль за которыми жёстко регламентирован. И если ты не разрешаешь команде атаки, к примеру, формировать платёжные документы, подбрасывать их в реестр платежей и так далее, то и действенность организационных мер ты проверить не сможешь.

Мы тоже к этому пришли не сразу. У нас был случай, когда во время киберучений мы поставили командам задачу перевести денежные средства и при этом не дали достаточной детализации. В итоге наши нападающие «добежали» до компьютера девушки, которая сидит на ресепшене и формирует заказы на оплату услуг курьерской службы, в силу чего имеет доступ к «1С: Бухгалтерии». Далее под её учётной записью они сделали скриншоты из 1C и отчитались о реализации риска. И тут начались нюансы. Во-первых, у этой сотрудницы не было возможности формировать сами «платёжки», так как она ограничена жёстким лимитом и платежами в сторону одного контрагента. Другими словами, они были не в состоянии украсть, скажем, 200 миллионов через эту учётную запись. Любая попытка перевода денежной суммы больше 10 тысяч тут же была бы атрибутирована как нештатная ситуация. Во-вторых, добежать-то до рабочей станции добежали, и даже сделали скриншоты, но буквально через 15 минут после получения доступа к рабочей станции SOC заблокировал атакующих и ребят удалили из инфраструктуры. За 15 минут они только и успели, что сделать эти скриншоты. Будь это реальный злоумышленник, он не смог бы украсть деньги. И здесь возникает вопрос: засчитывать команде результат или нет?

В какой-то момент, чтобы избежать этих споров, мы начали очень чётко ставить цели в своих киберучениях, и в этом — их главное отличие от Red Teaming.

Например, участники должны продемонстрировать, что разобрались в бизнес-процессах, и суметь перевести между счетами компании, скажем, до 2 500 рублей. 

Мы сейчас модифицируем свою инфраструктуру, она живая и меняющаяся: наше ИТ-подразделение то переезжает между дата-центрами, то меняет оборудование одного вендора на другого. Это нормально: у ИТ-департамента есть свой план работ. Задача этих киберучений — атаковать ровно так же, как и в реальной жизни нас атаковали бы реальные злоумышленники. Не выбирая моментов, прямо во время изменений и даже с использованием их нюансов. 

Учения у нас длительные — три месяца. Причём с ребятами из TSARKA мы договорились так: если они почувствуют, что за три месяца не успели попробовать все способы и методы, то мы этот срок продлим. В ноябре у нас, как обычно, будет The Standoff, в ходе подготовки к нему создаётся масса макетов, разворачиваются демостенды, вводятся в эксплуатацию новые порталы. И если TSARKA найдут там какое-то неучтённое «окошко», смогут использовать какую-то уязвимость, то это — только плюс.

При редтиминге создаётся арбитраж, так называемая White Team — те, кто будут наблюдать за процессом. Нужно ли это на киберучениях?

А. Н.: Этот арбитраж в первую очередь нужен для подстраховки, чтобы красная команда (атакующие) ничего не «уронила». Ещё он нужен, чтобы вынести решение о том, достигнута ли цель. Как в том примере, что я привёл — со скриншотами из 1С и потерей доступа через 15 минут. Вот в такой ситуации арбитраж бы и решал, засчитывать активность как успешную или нет. Во время же киберучений главное — максимально проверить систему информационной безопасности, а не насчитать очки.

А сотрудников предупреждать об этом нужно?

А. Н.: Ни в коем случае.

Мы как раз и проверяем, в том числе, насколько качественно наши сотрудники проходят курсы по повышению осведомлённости, обучены работе с фишингом и так далее.

Внутри компании мы проводим обучение для сотрудников, разработаны штатные процедуры. Так, к примеру, если сотрудник получает подозрительное письмо, есть специальный почтовый ящик, куда его можно переслать. Затем специалисты SOC проводят анализ и дают рекомендации по дальнейшим действиям.

Мы очень долго работали именно над тем, чтобы сотрудники не забывали или не боялись (даже в случае перехода по ссылкам и скачивания вложений) пересылать нам такие фишинговые письма. Например, у нас в компании стоит песочница, но мы не используем её в режиме блокировки. Проверка всех входящих писем занимает у неё некоторое время. И сейчас мы пришли к тому, что наши пользователи присылают подозрительные письма напрямую на проверку в SOC быстрее, чем приходит вердикт от песочницы, хотя её тайм-ауты составляют буквально минуты. Однажды у нас была рассылка по 12 адресам, и все 12 получателей честно отписались в SOC, что им пришло письмо, а двое даже написали, что открыли его, и спросили, что им теперь делать. Конечно, мы видели эту рассылку в мониторинге, оперативно блокировали все тела вредоносов, «засинкхолили» необходимые IP-адреса в нашей инфраструктуре, но самое главное в этой ситуации — сознательность и внимательность наших сотрудников.

Расскажите, по какому принципу отбирается команда для такого рода киберучений. 

А. Н.: Существует негласный рейтинг пентестеров, есть The Standoff, где мы также внимательно отслеживаем, кто из команд атаки показывает наилучшие результаты. И к сегодняшнему дню в России мы, пожалуй, уже поработали со всеми командами из тех, что входят в топ-5 по своим навыкам. 

Отличаете ли вы отдельных специалистов или же это — всегда командный зачёт?

А. Н.: Тут всё как в реальной жизни: атрибутировать до реального человека невозможно. Всё, что мы можем сделать, — это выделить сильные стороны у известных нам команд. Так, например, одна из них может найти 0-day применительно к твоей инфраструктуре. Другая команда — просто гуру в «социалке» и очень, очень качественно подбирает тематику. 

У нас был интересный кейс с фишинговым письмом в апреле прошлого года, когда наша компания столкнулась с санкциями (и тогда у нас тоже шли киберучения): в письме было обращение к сотрудникам компании по поводу санкционных рисков. Прочитать его успели не все, мы его, естественно, очень быстро вычистили. Те киберучения вообще вспоминаются как феерические: в понедельник они начались, а во вторник наш поставщик двухфакторной аутентификации, которую мы на тот момент использовали, отреагировал на политическую повестку и отключил нам сервис в одностороннем порядке, что называется, «без объявления войны». Таким образом, у нас моментально увеличилась площадь атаки. Ребята со стороны нападения в тот момент мгновенно сориентировались и тут же воспользовались новыми возможностями, начали активно подбирать пароли. Пока наш ИТ-департамент искал другого поставщика двухфакторной аутентификации, у нас в SOC было «горячо»: сказать, что нам потребовалось много усилий для того, чтобы понять, реальный ли пользователь подключился или нет, — ничего не сказать.

Возвращаясь к текущим учениям: как вы будете оценивать их результаты внутри компании?

А. Н.: Прежде всего, если нас взломают и реализуют риск, мы безусловно пойдём делать свою «работу над ошибками».

Для нас отрицательный результат — это тоже результат.

Но я делаю ставку на то, что это будет «боевая» тренировка всей компании, проверка всей нашей системы защиты и подтверждение возможности вовремя остановить атакующего, не дав ему возможности реализовать недопустимое для нас происшествие с учётом любых вариантов развития событий. 

Честно скажу, я знаю все лазейки, с помощью которых можно попасть в периметр нашей компании. Поэтому, если мы не увидим даже неуспешных попыток их использовать, они могут стать «домашним заданием» уже для команды атакующих: мы обязательно дадим им обратную связь, полезную для дальнейшего наращивания компетенций. 

В данном случае важны обе истории, потому что в первой мы повышаем свою защищённость, а во второй повышается профессионализм красной команды, что играет на руку их будущим клиентам.

Текущие киберучения продлятся три месяца. Почему так долго?

А. Н.: Давайте ненадолго встанем на сторону пентестеров. Что нужно предпринять первым делом, когда получил задачу атаковать? Конечно, познакомиться с объектом атаки, провести оценку, изучить периметр. При этом есть ещё и задача действовать максимально скрытно, поэтому нельзя просто взять и включить сразу все сканеры. Если захватил какую-то точку входа, то дальнейшую разведку тоже надо максимально замаскировать, готовя свой инструментарий для обхода наших средств защиты. Имея собственную пентестерскую команду, мы как никто понимаем, что если хочешь получить качественный результат, то три месяца — это необходимый минимум.

Киберучения в меньшие сроки — это однозначно профанация.

Но ведь структура ИТ меняется очень быстро, и здесь возникает вопрос о том, как часто нужно проводить подобные учения.

А. Н.: Всё зависит от готовности ИБ. Как только дошли до той стадии, что команде нападающих не удаётся «с наскока» реализовать недопустимое событие один-два раза, имеет смысл переходить на постоянно действующий контракт с одной либо двумя командами, по условиям которого они тебя атакуют в любой момент времени в течение года. При этом столь длительный период (до года) нужен именно для того, чтоб атакующая команда максимально освоилась, изучила вас как объект сверху донизу и реализовала поставленные задачи. Именно к этому мы сейчас и стремимся.

То есть речь идёт о том, чтобы сделать проверку непрерывным процессом?

А. Н.: Да, и это тоже делается для полного приближения к реальной жизни. При этом, хотя ребята и должны быть максимально похожи на злоумышленников, у них есть отличие: когда им удаётся что-то сделать, они приходят и честно тебе об этом рассказывают. А дальше ты уже можешь исправлять найденные ошибки в защите.

Поэтому один из способов получить максимальную уверенность в том, что у тебя в инфраструктуре отсутствуют злоумышленники, — это знать, что тебя параллельно атакует команда, которая тебе оперативно сообщает, молодец ли ты в каждый отдельный момент времени. Например, успел ли пропатчить Exchange до того, как появился PoC, или смог ли предусмотреть защиту продуктивных сред в тот временной зазор, когда при переносе их в ЦОД они остались без «прикрытия» WAF.

Вернёмся к разговору об отличиях классического киберполигона на стенде от тех учений, которые у вас сейчас идут. Наверняка киберполигон на «живой» инфраструктуре дороже. Или нет? Сравнивали ли вы экономическую составляющую?

А. Н.: Когда ты приходишь, скажем, на The Standoff, ты тратишь свои ресурсы (неважно, финансовые или человеческие) на две вещи, одна из которых — это создание дубликата своей инфраструктуры. При этом всё зависит от того, как много ты моделируешь: чем больше, тем дороже. Важно понимать, что этот «дубликат» никогда не будет достаточно полным. Он всегда будет с какими-то допущениями. И самое главное — ты на этот полигон не приводишь сотрудников, тогда как самое слабое звено — всё-таки люди. 

На полигоне ты не сможешь проверить вектор «социалки», уровень защиты бизнес-процессов. Здесь можно проверить технику, выявить уязвимости в том сегменте, который ты туда принёс, и посмотреть, как у тебя там работают средства защиты. 

Второе, во что ты вкладываешься, приходя на полигон, — это действия атакующих и их последующий анализ. Когда же проводятся «живые» киберучения, ты получаешь более качественный результат: проверяется реальная инфраструктура, причём вся целиком. Ты не тратишься на создание «потёмкинских деревень», а оплачиваешь только услуги команды по нападению.

С другой стороны, когда ты только создаёшь свою инфраструктуру, имеет смысл приходить именно на киберполигоны и проверять там небольшие её «кирпичики». То есть ты пять раз пришёл на киберполигон, проверил пять «кирпичиков», затем из них выстроил у себя стену и дальше уже начинаешь проводить киберучения на своей реальной инфраструктуре.

Иначе говоря, существует определённая последовательность проведения киберучений. Сначала правильнее провести командно-штабные учения, для того чтобы выстроить процессы, понять, кто и когда должен реагировать, кого информировать, кто принимает конкретные решения и так далее. Когда бизнес-процессы становятся более зрелыми, можно проводить управляемый Red Teaming с арбитражем. Параллельно следует прийти на киберполигон и проверить под атакой большого количества «белых» хакеров, использующих разные техники и тактики, насколько хорошо отлажены твои средства защиты — потому что именно в этом случае количество тоже имеет значение. И только когда ты уже уверен в своей зрелости, проводи киберучения: трёхмесячные, полугодовые. В финале — доведи киберучения до 365 дней в году. Параллельно с этим имеет смысл задуматься и о Bug Bounty, это тоже неотъемлемый элемент результативной кибербезопасности.

Вы озвучили очень важный тезис: не стоит бросаться в «живые» передовые киберучения, когда ты ещё не попробовал Red Teaming и ни разу не потренировался на обычных киберполигонах, тестируя элементы защиты на макетах. Нужны зрелые инфраструктура и система ИБ, чтобы подойти к «живым» учениям. Иначе тебя взломают за пару часов, и это будет совсем неинтересно.

А. Н.: Безусловно. Необходимо иметь выстроенные процессы, высокий уровень безопасности и SOC, который обеспечивает реагирование на инциденты в адекватное время, то есть «time-to-respond» не исчисляется днями: если у тебя учётная запись блокируется на несколько дней, то это, безусловно, очень плохо. Конечно, и в этом случае можно прийти на киберучения, но тогда высока вероятность того, что ты просто проиграешь, не успев получить хоть какую-то информацию для развития.

Повторюсь, киберучения на «живой» инфраструктуре — это уже финальная точка, когда ты проверяешь технику, процессы, организационные меры и везде, везде, где только можно, ищешь уязвимости.

Короткий финальный вопрос. Если команда атакующих реализует недопустимый риск — переведёт деньги, получит доступ к финансовой отчётности или конфиденциальным данным, — сообщите ли вы об этом?

А. Н.: Обязательно сообщим. Мы осознанно идём на учения и стремимся сделать их максимально прозрачными.

Если будут реализованы риски, мы обязательно об этом расскажем.

И обязательно сделаем разбор, выясним все причины, почему так получилось, примем все меры, необходимые для того, чтобы такие кейсы стали гарантированно невозможными в будущем. Не скрывать инциденты, делиться информацией с комьюнити и рассказывать, что же на самом деле и как происходит, — это наша осознанная позиция. 

Большое спасибо за интервью, оно получилось насыщенным и интересным! Желаем вам и компании Positive Technologies новых успехов, а нашим читателям — всего самого безопасного. До новых встреч!