Будь готов: возможности и польза киберполигона
Напомним, что киберполигон — это виртуализированная IT-инфраструктура, на которой воспроизводятся кибератаки разной степени сложности. Он помогает специалистам по информационной безопасности отработать навыки обнаружения атак, расследования инцидентов, настройки корпоративной сети и средств защиты информации.
Представим, что ваша организация уже достаточно зрелая с точки зрения информационной безопасности: внедрены базовые процессы ИБ, сформирована служба кибербезопасности, а в арсенале есть разные средства защиты. В таком случае вам пора подумать об учениях на киберполигоне, где уязвимые в защите места будут искать белые хакеры с различным инструментарием и опытом. Однако киберучения и киберполигоны бывают разные. Далее разберем, какие задачи решает любой полигон, а какие сценарии реализуются только на онлайн-платформе, которая может работать у вас постоянно по подписке.
Учения на киберполигоне всегда связаны с получением новых знаний и прокачкой навыков. Например, на Standoff команды защиты — специалисты SOC (security operations center, центр мониторинга и реагирования на киберугрозы) — за несколько дней учений сталкиваются с таким количеством атак, которое они могут не увидеть в реальности даже за целый год (и это хорошо!). Здесь им приходится постоянно иметь дело с разными по сложности атаками, многие из которых пока не встречались в практике компании, но к ним следует быть готовыми.
Критически опасные события на полигоне могут быть реализованы разными способами. К примеру, на кибербитве Standoff в мае 2023 года команды атакующих 15 раз разными способами реализовали одно из недопустимых событий — заразили управляющую компанию вирусом-шифровальщиком. Некоторым удалось сделать это всего за пять шагов, а другим — за семь, восемь или даже 12. Это означает, что «серебряной пули» не существует как в атаке, так и в защите: недостаточно просто эмулировать нападение и научить службу ИБ защищаться от нее — в следующий раз тот же самый ущерб хакеры могут нанести совершенно другим образом. Для команд защитников, исследующих разные пути реализации опасных для организаций киберугроуз, расследование таких сценариев атак становится очень полезным опытом.
На киберполигоне команды также проводят мониторинг и учатся работать со средствами защиты информации (СЗИ). Здесь сотрудники компаний могут испытать СЗИ разных классов и увидеть, как они дополняют друг друга, получить ценный опыт эффективной настройки продуктов и средств защиты.
«Синие» команды начинают свою подготовку примерно за месяц, когда получают детальную информацию об отрасли, которую предстоит защищать на Standoff. За это время они выдвигают гипотезы о том, какие уязвимые места инфраструктуры могут атаковать хакеры, каким образом они могут это сделать, а также проводят разведку по открытым источникам (OSINT) в отношении команд атакующих. Далее они смотрят, как реализуются их прогнозы. Условия киберполигона позволяют экспериментировать без страха совершить роковую ошибку.
С ноября 2023 года на киберполигоне Standoff 365 снова появился сценарий реагирования (до этого несколько лет защитники занимались только выявлением и расследованием атак). Он включает в себя непосредственно реагирование (возможность пресечь атаку в процессе ее развития с помощью тех или иных технических средств) и предварительное укрепление сети — харденинг. «Синие» учатся соблюдать баланс между обеспечением безопасности сети и сохранением эффективности работы бизнеса, чтобы вместе с необходимыми мерами харденинга не «перекрыть кислород» и нормальному функционированию бизнеса. Если «пережестить», то хакерские атаки, конечно, будут предотвращены, но нормальная работа организации, доступность сервисов и информационных систем могут оказаться парализованными.
Мы поговорили о том, чем организации может быть полезна работа на киберполигоне. Скажем больше: практически на любом профессиональном киберполигоне. Как правило, такие киберучения проводятся в течение нескольких дней (обе кибербитвы Standoff в этом году продолжались по четыре дня, и это суперинтенсив — учения на других киберполигонах, как правило, укладываются в один, максимум два дня).
Но обучение — это далеко не все, чем может быть полезен киберполигон для бизнеса. Важно отметить, что более наглядно вся его польза проявляется именно в формате онлайн-полигона, на котором организация работает в течение длительного времени (в противовес коротким офлайн-кибербитвам).
На Standoff 365 есть два формата: офлайн и онлайн. Первый — это та самая кибербитва, красивое мероприятие с интенсивной работой по 12 часов в сутки, столкновение с десятками атак и сотнями инцидентов. Офлайн-формат — это отличная возможность для обучения и быстрой прокачки навыков, но на него нужно выделить время, собрать и подготовить команду. Часто после такого интенсива клиенты просят оставить им доступ к полигону для продолжения расследований инцидентов, вызванных атакующими, и отладки процессов в реальном, более спокойном режиме. В связи с этим в этом году мы сделали онлайн-полигон Standoff 365 доступным как для атакующих, так и для защитников, а также воспроизвели инфраструктуры разных отраслей, которые можно исследовать.
Онлайн-киберполигон Standoff 365 позволяет решать большое число задач безопасности с помощью почти 8000 уже зарегистрированных на нем белых хакеров, а также за счет возможности быстрого подключения инфраструктуры, подписки и кастомизации. Исследователи безопасности работают на платформе с воспроизведенными системами компаний, за каждой из которых стоит команда защиты. Важно, что эти инфраструктуры могут быть типовыми, а могут включать в себя реальные бизнес-процессы, сервисы, софт, оборудование, которые использует сам заказчик. Кроме того, есть возможность воспроизводить те риски, которые опасны именно для вашей компании. Соответственно, атаки белых хакеров не только помогут обучить специалистов по ИБ, но и устроят проверку боем для реальных фрагментов вашей инфраструктуры. По запросу на киберполигоне может быть создан новый отраслевой сегмент — это, кстати говоря, способствует повышению интереса хакеров, а значит, работа «синих» на полигоне станет еще интереснее и полезнее.
Мы специально проектировали онлайн-киберполигон так, чтобы можно было легко подключить фрагмент инфраструктуры любой компании, ее сервисы и информационные системы. Такие фрагменты могут быть анонимизированы, чтобы не давать подсказки нападающим. Белым хакерам всегда интересно исследовать новую инфраструктуру, а компании смогут оценить уровень своей уязвимости. Например, крупный ретейлер предложил проверить на кибербитве свою программу лояльности, чтобы убедиться в ее надежности перед внедрением. В первый раз хакеры нашли уязвимости и записали себе на счет 1 млн баллов. Через год, когда клиент доработал свое ПО, взломать программу уже не смогли.
На онлайн-киберполигоне исследователям не нужно находиться по 12 часов в день, как это происходит на интенсивной офлайн-битве. Здесь защитники могут отслеживать и расследовать даже те атаки, которые развиваются в течение многих месяцев. Фактически это своего рода threat intelligence, или киберразведка: можно проследить действия нападающих практически в прямом эфире. Кроме того, можно расследовать самые опасные атаки, которые в реальной жизни могут развиваться месяцами, — так называемые advanced persistent threats.
Онлайн-полигон позволяет проверить собственные средства защиты информации, максимизировать и отточить их работу. Можно поэкспериментировать с разными параметрами СЗИ, испытать их отработку на практике. Для реальной инфраструктуры такие эксперименты чреваты опасными последствиями, а на киберполигоне они вполне возможны.
По умолчанию на полигоне, конечно, используются средства защиты информации, созданные Positive Technologies, но клиенты справедливо хотят иметь возможность разместить на Standoff продукты других производителей, чтобы сравнить решения, провести пилотное внедрение или отработать свою работу с теми СЗИ, с которыми реально работает их команда. И это, конечно же, возможно.
Вопросы взаимодействия служб ИБ и IT — важная задача для многих компаний. Онлайн-киберполигон предоставляет хорошую возможность для отработки такого сотрудничества. Причем здесь могут вместе работать не только сотрудники служб ИБ и IT, но и специалисты по промышленной безопасности, защищающие сети АСУ ТП. Эта совместная работа позволяет значительно улучшить взаимопонимание и координацию действий для обеспечения киберустойчивости компаний.
Кроме того, для разных организаций — государственных органов, ведомственных регуляторов, больших холдингов, а иногда и для коммерческих компаний, вендоров и интеграторов — можно испытывать специфичные сценарии. Например, провести оценку готовности подведомственных организаций в области ИБ, устроить среди них целый отраслевой турнир, чтобы определить качественный уровень обнаружения, расследований и реагирования.
Один из основных факторов при принятии решения о киберучениях — мотивация сотрудников. С помощью киберполигона можно понять и оценить потенциал и возможности специалистов разного уровня. Иногда команды приходят с конкретной задачей (например, они хотят выяснить, кто из сотрудников первой линии готов перейти на вторую). При этом выводы могут оказаться неожиданными: команда может увидеть, что кто-то из ее членов представляет особую ценность именно на первой линии, а переход на вторую только погубит его как эффективного игрока.
Побочный эффект работы на полигоне — обучение и повышение индивидуальных навыков сотрудников ИБ — это ведь, по сути, игра, хотя и очень серьезная. Через планомерную работу на полигоне они открывают для себя новые аспекты работы и, по словам наших клиентов, начинают «крепче держаться за своего работодателя». А в тех условиях, когда в сферах IT и ИБ очень не хватает квалифицированных кадров, это неоценимое преимущество.
На киберполигоне можно посмотреть, как теория работает на практике, лучше понять вашу структуру и возможности вашего SOC. Это позволит принять правильное решение о необходимых изменениях. Эксперименты с разными функциями, задачами и отладкой процессов сложно проводить в реальной жизни, но вполне возможно в рамках киберполигона. Такие учения помогают не только усовершенствовать процессы кибербезопасности, но и повысить мотивацию ваших сотрудников и их экспертизу, чтобы сохранить в организации сильных специалистов, а также привлечь новых.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Представим, что ваша организация уже достаточно зрелая с точки зрения информационной безопасности: внедрены базовые процессы ИБ, сформирована служба кибербезопасности, а в арсенале есть разные средства защиты. В таком случае вам пора подумать об учениях на киберполигоне, где уязвимые в защите места будут искать белые хакеры с различным инструментарием и опытом. Однако киберучения и киберполигоны бывают разные. Далее разберем, какие задачи решает любой полигон, а какие сценарии реализуются только на онлайн-платформе, которая может работать у вас постоянно по подписке.
Стандартный сценарий: обучение
Насмотренность
Учения на киберполигоне всегда связаны с получением новых знаний и прокачкой навыков. Например, на Standoff команды защиты — специалисты SOC (security operations center, центр мониторинга и реагирования на киберугрозы) — за несколько дней учений сталкиваются с таким количеством атак, которое они могут не увидеть в реальности даже за целый год (и это хорошо!). Здесь им приходится постоянно иметь дело с разными по сложности атаками, многие из которых пока не встречались в практике компании, но к ним следует быть готовыми.
Критически опасные события на полигоне могут быть реализованы разными способами. К примеру, на кибербитве Standoff в мае 2023 года команды атакующих 15 раз разными способами реализовали одно из недопустимых событий — заразили управляющую компанию вирусом-шифровальщиком. Некоторым удалось сделать это всего за пять шагов, а другим — за семь, восемь или даже 12. Это означает, что «серебряной пули» не существует как в атаке, так и в защите: недостаточно просто эмулировать нападение и научить службу ИБ защищаться от нее — в следующий раз тот же самый ущерб хакеры могут нанести совершенно другим образом. Для команд защитников, исследующих разные пути реализации опасных для организаций киберугроуз, расследование таких сценариев атак становится очень полезным опытом.
Навыки мониторинга и работы со средствами защиты информации
На киберполигоне команды также проводят мониторинг и учатся работать со средствами защиты информации (СЗИ). Здесь сотрудники компаний могут испытать СЗИ разных классов и увидеть, как они дополняют друг друга, получить ценный опыт эффективной настройки продуктов и средств защиты.
«Синие» команды начинают свою подготовку примерно за месяц, когда получают детальную информацию об отрасли, которую предстоит защищать на Standoff. За это время они выдвигают гипотезы о том, какие уязвимые места инфраструктуры могут атаковать хакеры, каким образом они могут это сделать, а также проводят разведку по открытым источникам (OSINT) в отношении команд атакующих. Далее они смотрят, как реализуются их прогнозы. Условия киберполигона позволяют экспериментировать без страха совершить роковую ошибку.
Реагирование
С ноября 2023 года на киберполигоне Standoff 365 снова появился сценарий реагирования (до этого несколько лет защитники занимались только выявлением и расследованием атак). Он включает в себя непосредственно реагирование (возможность пресечь атаку в процессе ее развития с помощью тех или иных технических средств) и предварительное укрепление сети — харденинг. «Синие» учатся соблюдать баланс между обеспечением безопасности сети и сохранением эффективности работы бизнеса, чтобы вместе с необходимыми мерами харденинга не «перекрыть кислород» и нормальному функционированию бизнеса. Если «пережестить», то хакерские атаки, конечно, будут предотвращены, но нормальная работа организации, доступность сервисов и информационных систем могут оказаться парализованными.
Продвинутые сценарии — больше преимуществ на онлайн-полигоне
Мы поговорили о том, чем организации может быть полезна работа на киберполигоне. Скажем больше: практически на любом профессиональном киберполигоне. Как правило, такие киберучения проводятся в течение нескольких дней (обе кибербитвы Standoff в этом году продолжались по четыре дня, и это суперинтенсив — учения на других киберполигонах, как правило, укладываются в один, максимум два дня).
Но обучение — это далеко не все, чем может быть полезен киберполигон для бизнеса. Важно отметить, что более наглядно вся его польза проявляется именно в формате онлайн-полигона, на котором организация работает в течение длительного времени (в противовес коротким офлайн-кибербитвам).
На Standoff 365 есть два формата: офлайн и онлайн. Первый — это та самая кибербитва, красивое мероприятие с интенсивной работой по 12 часов в сутки, столкновение с десятками атак и сотнями инцидентов. Офлайн-формат — это отличная возможность для обучения и быстрой прокачки навыков, но на него нужно выделить время, собрать и подготовить команду. Часто после такого интенсива клиенты просят оставить им доступ к полигону для продолжения расследований инцидентов, вызванных атакующими, и отладки процессов в реальном, более спокойном режиме. В связи с этим в этом году мы сделали онлайн-полигон Standoff 365 доступным как для атакующих, так и для защитников, а также воспроизвели инфраструктуры разных отраслей, которые можно исследовать.
Анализ уязвимости инфраструктуры компании: проверка боем
Онлайн-киберполигон Standoff 365 позволяет решать большое число задач безопасности с помощью почти 8000 уже зарегистрированных на нем белых хакеров, а также за счет возможности быстрого подключения инфраструктуры, подписки и кастомизации. Исследователи безопасности работают на платформе с воспроизведенными системами компаний, за каждой из которых стоит команда защиты. Важно, что эти инфраструктуры могут быть типовыми, а могут включать в себя реальные бизнес-процессы, сервисы, софт, оборудование, которые использует сам заказчик. Кроме того, есть возможность воспроизводить те риски, которые опасны именно для вашей компании. Соответственно, атаки белых хакеров не только помогут обучить специалистов по ИБ, но и устроят проверку боем для реальных фрагментов вашей инфраструктуры. По запросу на киберполигоне может быть создан новый отраслевой сегмент — это, кстати говоря, способствует повышению интереса хакеров, а значит, работа «синих» на полигоне станет еще интереснее и полезнее.
Мы специально проектировали онлайн-киберполигон так, чтобы можно было легко подключить фрагмент инфраструктуры любой компании, ее сервисы и информационные системы. Такие фрагменты могут быть анонимизированы, чтобы не давать подсказки нападающим. Белым хакерам всегда интересно исследовать новую инфраструктуру, а компании смогут оценить уровень своей уязвимости. Например, крупный ретейлер предложил проверить на кибербитве свою программу лояльности, чтобы убедиться в ее надежности перед внедрением. В первый раз хакеры нашли уязвимости и записали себе на счет 1 млн баллов. Через год, когда клиент доработал свое ПО, взломать программу уже не смогли.
Планомерное обучение, кастомизированное для разных специальностей в сфере ИБ и IT
На онлайн-киберполигоне исследователям не нужно находиться по 12 часов в день, как это происходит на интенсивной офлайн-битве. Здесь защитники могут отслеживать и расследовать даже те атаки, которые развиваются в течение многих месяцев. Фактически это своего рода threat intelligence, или киберразведка: можно проследить действия нападающих практически в прямом эфире. Кроме того, можно расследовать самые опасные атаки, которые в реальной жизни могут развиваться месяцами, — так называемые advanced persistent threats.
Выжать максимум из ваших СЗИ
Онлайн-полигон позволяет проверить собственные средства защиты информации, максимизировать и отточить их работу. Можно поэкспериментировать с разными параметрами СЗИ, испытать их отработку на практике. Для реальной инфраструктуры такие эксперименты чреваты опасными последствиями, а на киберполигоне они вполне возможны.
По умолчанию на полигоне, конечно, используются средства защиты информации, созданные Positive Technologies, но клиенты справедливо хотят иметь возможность разместить на Standoff продукты других производителей, чтобы сравнить решения, провести пилотное внедрение или отработать свою работу с теми СЗИ, с которыми реально работает их команда. И это, конечно же, возможно.
Отладка взаимодействия отделов ИБ и IT, головных компаний с дочерними
Вопросы взаимодействия служб ИБ и IT — важная задача для многих компаний. Онлайн-киберполигон предоставляет хорошую возможность для отработки такого сотрудничества. Причем здесь могут вместе работать не только сотрудники служб ИБ и IT, но и специалисты по промышленной безопасности, защищающие сети АСУ ТП. Эта совместная работа позволяет значительно улучшить взаимопонимание и координацию действий для обеспечения киберустойчивости компаний.
Кроме того, для разных организаций — государственных органов, ведомственных регуляторов, больших холдингов, а иногда и для коммерческих компаний, вендоров и интеграторов — можно испытывать специфичные сценарии. Например, провести оценку готовности подведомственных организаций в области ИБ, устроить среди них целый отраслевой турнир, чтобы определить качественный уровень обнаружения, расследований и реагирования.
Мотивация, развитие и лояльность
Один из основных факторов при принятии решения о киберучениях — мотивация сотрудников. С помощью киберполигона можно понять и оценить потенциал и возможности специалистов разного уровня. Иногда команды приходят с конкретной задачей (например, они хотят выяснить, кто из сотрудников первой линии готов перейти на вторую). При этом выводы могут оказаться неожиданными: команда может увидеть, что кто-то из ее членов представляет особую ценность именно на первой линии, а переход на вторую только погубит его как эффективного игрока.
Побочный эффект работы на полигоне — обучение и повышение индивидуальных навыков сотрудников ИБ — это ведь, по сути, игра, хотя и очень серьезная. Через планомерную работу на полигоне они открывают для себя новые аспекты работы и, по словам наших клиентов, начинают «крепче держаться за своего работодателя». А в тех условиях, когда в сферах IT и ИБ очень не хватает квалифицированных кадров, это неоценимое преимущество.
На киберполигоне можно посмотреть, как теория работает на практике, лучше понять вашу структуру и возможности вашего SOC. Это позволит принять правильное решение о необходимых изменениях. Эксперименты с разными функциями, задачами и отладкой процессов сложно проводить в реальной жизни, но вполне возможно в рамках киберполигона. Такие учения помогают не только усовершенствовать процессы кибербезопасности, но и повысить мотивацию ваших сотрудников и их экспертизу, чтобы сохранить в организации сильных специалистов, а также привлечь новых.