Репетиция атаки: кому и когда нужен киберполигон
«Киберучения» и «киберполигон» — чуть ли не самые популярные слова из мира информационной безопасности сегодня. Причем в отличие от узкопрофессиональных технических терминов эти слова уже хорошо знакомы и бизнесу, и руководителям высшего звена: проведения учений — в том числе киберучений — требует от них законодательство, про полигоны регулярно говорят в бизнес-сообществе и медиа. Многие компании, а также отраслевые регуляторы, регионы, вузы справедливо гордятся своими полигонами. Это, по сути, уже buzz word. Разберемся, кому и зачем они нужны.
Киберполигон — ключевой элемент построения системы результативной кибербезопасности. На киберучениях Standoff 365 от компании Positive Technologies, например, участники могут подготовиться к угрозам и самым непредсказуемым сценариям благодаря живому хакерскому трафику со стороны поддерживаемого компанией международного сообщества независимых исследователей безопасности. В том числе здесь можно выявлять и расследовать атаки, эксплуатирующие уязвимости нулевого дня. Тысячи этичных хакеров, использующих различные тактики, техники и инструменты, помогают бизнесу и государству предотвратить недопустимые для организаций сценарии, раскрывая интересные и неожиданные векторы атак.
Поэтому у многих компаний возникает желание построить киберполигон и у себя (ну или хотя бы посокрушаться «вот мне бы такую штуку!»). Давайте попробуем разобраться, нужен ли он вам, и если нужен, то каким он должен быть.
Что такое киберполигон?
Это виртуализированная или эмулированная IT-инфраструктура (ваша собственная или типовой организации), на которой воспроизводятся кибератаки разной степени сложности. Если ваш SOC (Security Operation Center, центр мониторинга и реагирования на киберугрозы) смог выявить, расследовать и/или отразить атаку на киберполигоне, то с большой вероятностью он сможет сделать это и в реальной жизни. Если не смог — не страшно: это не атака на реальную инфраструктуру, и никакого ущерба не будет, зато компания поймет, чего именно не хватает службе ИБ (знаний, навыков, регламентов, умения взаимодействовать, программных средств защиты информации) и организует соответствующие корректирующие действия: обучение, обновление регламентов, закупку продуктов для защиты информации и т. д. В идеале после исправления провести новый раунд «атака — выявление — расследование — реагирование», чтобы не осталось сомнений, что с таким типом атак вы научились справляться.
Всем ли нужен киберполигон?
Все зависит от «зрелости» компании. Если процессы информационной безопасности еще не выстроены, то киберполигон можно использовать для тренировки и слаживания действий сотрудников службы ИБ на старте формирования отдела, изучения и исследования актуальных и нетривиальных техник хакеров. Также на киберполигоне можно разместить и проверить фрагменты собственной инфраструктуры, чтобы протестировать ее защищенность в безопасной и контролируемой среде. И не стоит забывать, что это отличный способ на практике познакомиться с разными классами продуктов ИБ, определить, какие из них необходимы для вашей организации, обеспечить оптимальную настройку средств защиты.
Если же компания только начинает проводить самые базовые меры проверки на наличие уязвимостей (например, сканирование), то есть смысл начать, например, с командно-штабных учений, то есть репетиции последовательности действий в случае той или иной возможной атаки. Такие учения можно проводить даже собственными силами, в буквальном смысле за пару часов в переговорной. «Предположим, что злоумышленники зашифровали нашу систему. Специалисты по ИБ, каковы немедленные действия? (Подсказка: выключаем все пользовательские устройства из розетки, особенно если этот компьютер еще не подвергся шифрованию.) HR, что и как говорим сотрудникам, распускаем ли их по домам или есть резервный план? IT, где у нас резервные копии и как быстро мы сможем восстановить данные из них?» На самом деле такая репетиция не повредит и крупным организациям — в качестве дополнения к киберполигону.
Если же базовые процессы защиты информации в вашей организации уже внедрены, то, скорее всего, и ваша служба ИБ состоит из специалистов разных направлений и разной квалификации, и средства защиты информации используются довольно разнообразные. Значит, самое время задуматься об учениях на киберполигоне. Можно ограничиться разовыми учениями (это уже позволит серьезно подтянуть квалификацию специалистов и проверить регламенты взаимодействия в условиях кибератак). В России есть несколько киберполигонов, позволяющих провести такие учения. А можно купить годовой доступ к онлайн-полигону, как предлагает Standoff 365, — и вы сможете проводить те самые «сравнительные» учения (проверили — исправили — снова проверили), выявлять и анализировать самые опасные и продолжительные техники и тактики атакующих, экспериментировать с разной конфигурацией инфраструктуры и средств мониторинга информации.
А нужен ли вам собственный киберполигон?
Тут можно долго обсуждать, где кончаются относительно простые тестовые стенды и начинается киберполигон — по большому счету, границы нет. Но обычно, когда говорят именно о полигоне, имеют в виду эмуляцию довольно развитой инфраструктуры (в том числе не только корпоративной сети, но и технологического контура, если для вас это актуально), подготовленной к потенциальным атакам; а также тщательно продуманные цели атакующих: те самые бизнес-риски, или, в нашей терминологии, недопустимые события. Создание, развитие и обслуживание такой инфраструктуры требует серьезных инвестиций, большой команды специалистов (а где вы найдете методолога создания киберполигона?), постоянного потока ИБ-экспертизы. Такие вещи мы рекомендуем делать только самым крупным системообразующим предприятиям, да и то в случае, если их технологические и бизнес-процессы достаточно уникальны и не могут быть поддержаны с помощью кастомизации уже существующих полигонов.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Киберполигон — ключевой элемент построения системы результативной кибербезопасности. На киберучениях Standoff 365 от компании Positive Technologies, например, участники могут подготовиться к угрозам и самым непредсказуемым сценариям благодаря живому хакерскому трафику со стороны поддерживаемого компанией международного сообщества независимых исследователей безопасности. В том числе здесь можно выявлять и расследовать атаки, эксплуатирующие уязвимости нулевого дня. Тысячи этичных хакеров, использующих различные тактики, техники и инструменты, помогают бизнесу и государству предотвратить недопустимые для организаций сценарии, раскрывая интересные и неожиданные векторы атак.
Поэтому у многих компаний возникает желание построить киберполигон и у себя (ну или хотя бы посокрушаться «вот мне бы такую штуку!»). Давайте попробуем разобраться, нужен ли он вам, и если нужен, то каким он должен быть.
Что такое киберполигон?
Это виртуализированная или эмулированная IT-инфраструктура (ваша собственная или типовой организации), на которой воспроизводятся кибератаки разной степени сложности. Если ваш SOC (Security Operation Center, центр мониторинга и реагирования на киберугрозы) смог выявить, расследовать и/или отразить атаку на киберполигоне, то с большой вероятностью он сможет сделать это и в реальной жизни. Если не смог — не страшно: это не атака на реальную инфраструктуру, и никакого ущерба не будет, зато компания поймет, чего именно не хватает службе ИБ (знаний, навыков, регламентов, умения взаимодействовать, программных средств защиты информации) и организует соответствующие корректирующие действия: обучение, обновление регламентов, закупку продуктов для защиты информации и т. д. В идеале после исправления провести новый раунд «атака — выявление — расследование — реагирование», чтобы не осталось сомнений, что с таким типом атак вы научились справляться.
Всем ли нужен киберполигон?
Все зависит от «зрелости» компании. Если процессы информационной безопасности еще не выстроены, то киберполигон можно использовать для тренировки и слаживания действий сотрудников службы ИБ на старте формирования отдела, изучения и исследования актуальных и нетривиальных техник хакеров. Также на киберполигоне можно разместить и проверить фрагменты собственной инфраструктуры, чтобы протестировать ее защищенность в безопасной и контролируемой среде. И не стоит забывать, что это отличный способ на практике познакомиться с разными классами продуктов ИБ, определить, какие из них необходимы для вашей организации, обеспечить оптимальную настройку средств защиты.
Если же компания только начинает проводить самые базовые меры проверки на наличие уязвимостей (например, сканирование), то есть смысл начать, например, с командно-штабных учений, то есть репетиции последовательности действий в случае той или иной возможной атаки. Такие учения можно проводить даже собственными силами, в буквальном смысле за пару часов в переговорной. «Предположим, что злоумышленники зашифровали нашу систему. Специалисты по ИБ, каковы немедленные действия? (Подсказка: выключаем все пользовательские устройства из розетки, особенно если этот компьютер еще не подвергся шифрованию.) HR, что и как говорим сотрудникам, распускаем ли их по домам или есть резервный план? IT, где у нас резервные копии и как быстро мы сможем восстановить данные из них?» На самом деле такая репетиция не повредит и крупным организациям — в качестве дополнения к киберполигону.
Если же базовые процессы защиты информации в вашей организации уже внедрены, то, скорее всего, и ваша служба ИБ состоит из специалистов разных направлений и разной квалификации, и средства защиты информации используются довольно разнообразные. Значит, самое время задуматься об учениях на киберполигоне. Можно ограничиться разовыми учениями (это уже позволит серьезно подтянуть квалификацию специалистов и проверить регламенты взаимодействия в условиях кибератак). В России есть несколько киберполигонов, позволяющих провести такие учения. А можно купить годовой доступ к онлайн-полигону, как предлагает Standoff 365, — и вы сможете проводить те самые «сравнительные» учения (проверили — исправили — снова проверили), выявлять и анализировать самые опасные и продолжительные техники и тактики атакующих, экспериментировать с разной конфигурацией инфраструктуры и средств мониторинга информации.
А нужен ли вам собственный киберполигон?
Тут можно долго обсуждать, где кончаются относительно простые тестовые стенды и начинается киберполигон — по большому счету, границы нет. Но обычно, когда говорят именно о полигоне, имеют в виду эмуляцию довольно развитой инфраструктуры (в том числе не только корпоративной сети, но и технологического контура, если для вас это актуально), подготовленной к потенциальным атакам; а также тщательно продуманные цели атакующих: те самые бизнес-риски, или, в нашей терминологии, недопустимые события. Создание, развитие и обслуживание такой инфраструктуры требует серьезных инвестиций, большой команды специалистов (а где вы найдете методолога создания киберполигона?), постоянного потока ИБ-экспертизы. Такие вещи мы рекомендуем делать только самым крупным системообразующим предприятиям, да и то в случае, если их технологические и бизнес-процессы достаточно уникальны и не могут быть поддержаны с помощью кастомизации уже существующих полигонов.