«Человек есть мера всех вещей» – кажется, что сказанное Протагором в пятом веке до нашей эры и сейчас сохраняет актуальность. А является ли человек мерой невещественного, наполняющего киберпространство? Как люди становятся оплотом организации, а их практические знания – главным звеном цепи киберустойчивости?

Со времён первых взломов информационных сетей киберпреступность выросла и количественно, и качественно. Сейчас хакеры – уже не тинейджеры из боевиков 90-х, засевшие в отцовском гараже в попытке получить доступ к засекреченному сайту. На современной хаксцене можно встретить как одиночек-любителей, так и объединённые идеологией группировки «хактивистов». Однако венцом эволюции киберпреступников становятся профессиональные наёмные альянсы. Такие криминальные сети наиболее опасны: они хорошо выстроены, действуют осторожно, их приоритет – финансовая выгода.

В условиях накалённой геополитической обстановки и ожесточённой информационной войны в противостояние вовлекается всё больше потенциальных киберпреступников и криминальных группировок. Каждый бизнес под угрозой: начался очередной виток вечного противостояния щита и меча, где одни находят очередные слабые места и атакуют, а другие – думают наперёд, уворачиваются и пытаются не допустить поражения.

Оставь надежду

Первый шаг на пути к успешной обороне для компании – фатализм. Нужно принять неизбежность кибератаки как явления: нельзя повлиять ни на факт атаки, ни на профиль и инструменты атакующего. Но важно, какие действия и с какой скоростью будут совершены во время её обнаружения.

Исходя из этих вводных, цифровая устойчивость организации — это эффективный результат при совершении цепочки приоритетных выборов. Выстраивать ее нужно комплексно: нельзя ограничиваться лишь защитой периметра и средствами мониторинга событий информационной безопасности.

Конечно, автоматизация и технологии достигли определённых высот: эвристический анализ, методы машинного обучения и искусственный интеллект уже применяются для защиты от киберугроз. Но все равно остаётся несколько процентов ручной работы, которая ложится на плечи специалиста. В контексте «здесь и сейчас» будет иметь значение только то, насколько оперативные и слаженные действия он совершит, а значит, важен уровень его знаний и навыков.

Уже сейчас рынок испытывает острую нехватку квалифицированных специалистов по ИБ (по оценкам Innostage, порядка 50 тысяч человек), и тенденция на увеличение спроса будет сохраняться. Поэтому следующим ключевым шагом по сохранению цифровой устойчивости для организаций станет пересмотр и создание внутренних программ обучения, повышения навыков, передачи ключевых знаний и менторства – иными словами, построение внутренних кузниц кадров.

Что наша жизнь?

Особенного внимания заслуживают группы мониторинга, оперативного реагирования и предотвращения киберугроз (SOC). В большинстве своём в них входят недавние выпускники вузов – поколение зумеров, не разделяющих идеи Энгельса о труде, что трудоголизм равен достижению результатов. Наилучший способ их замотивировать – вплести в программы обучения элементы геймификации.

Каждый раз, когда человек выполняет задачу, у него вырабатываются гормоны счастья. Упрощённо, именно на удовольствии от получения вознаграждения за результат, полученный в конце пути (с преодолеваемыми сложностями и допустимыми ошибками), построена тяга к играм. Ещё лучше, если в процессе будет весело: периодически среди серьёзных могут затеряться шуточные, несуразные и не имеющие прямого отношения к теме задания, например, доехать на офисном стуле до кухонной зоны.

Лучшее знание человек приобретает через проживание личного опыта, при этом воспринимая только то, что ему позволит уровень сознания. Говоря об одном и том же, люди с разным реальным опытом будут иметь в виду абсолютно разные сущности.

Человек без глубокого читательского опыта воспримет известную историю Достоевского всего лишь как детектив. Также и специалист группы мониторинга и обнаружения событий без практических навыков при столкновении с индикатором, указывающим на горизонтальное перемещение, не станет искать скомпрометированную точку входа.

Уникальной средой для получения практических знаний и опыта, учитывающей приёмы геймификации, являются киберучения.

Gaudeamus igitur

Киберучения могут принимать разные формы:

• имитации реальных атак – тренировки «красных шляп»

• отработку реагирования на инциденты ИБ, расследование и разбор «синих шляп»

• активное сканирование своей же инфраструктуры – «фиолетовых шляп»

• все опции вместе и в комбинациях по-отдельности.

Большинство киберучений и киберполигонов сегодня делают упор на квалификации «красных». «Синие» же вынуждены действовать в реальных условиях, отвечая на учебные атаки. Необходимо осознавать, что путь красного трафика – шаг в сторону нападения, а не защиты: то, что в учебном формате будет оставлено как невинный цифровой след, в будущем может обернуться истоком новой реальной атаки и открыть ящик Пандоры.

В таких условиях специалистам ИБ, отвечающим за роль защитников крайне тяжело приобрести все желаемые навыки: мешают стрессовые условия (их взламывают прямо сейчас), отсутствие базовой теоретической подготовки и последующего подробного разбора ошибок.

Для «синих» наибольшую важность представляют отработки навыков мониторинга, расследования и реагирования на инциденты путём последовательного ретроспективного анализа реализованных бизнес-рисков (утечки учётных записей, мошенничество в системах продаж, подмен содержимого веб-сайтов, компрометации критичных систем, недоступность конфиденциальной информации и другие).

У нас в Innostage есть свой вариант учений для «синих» – доступная для специалистов ИБ виртуальная ИТ-инфраструктура, смоделированная под типовой офис. В состав входят сегментированная сеть с доменами Active Directory, узлы на базе различных операционных систем, сервисы почтового сервера, шлюз удалённых рабочих столов, системы централизованного управления антивирусом, базы данных MySQL, MSSQL, FTP-сервера, ERP, CMDB, а также рабочие станции пользователей и веб-приложений различного содержания. Основными средствами мониторинга и защиты служат SIEM, WAF, NTA и Sandbox.

Легенды заданий оформлены на специальной учебной платформе в виде курса с вопросами, подсказками и начислением баллов за правильные варианты ответа. Платформа также обогащена глоссарием, теоретическими справками, чатом и формой обратной связи для участников.

Сценарии кибератак повторяют реальные ситуации, с которыми столкнулись аналитики ГК Innostage в Центре предотвращения киберугроз CyberART. Они разделены на базовые и продвинутые, что позволяет плавно, без лишнего стресса погрузить участников в процесс обучения и получить максимально эффективный результат.

Подход киберучений, объединяющий в себе элементы игры (задания, баллы, скоринг, соревнование) и практического обучения (реальные сценарии кибератак и их разбор) позволит бизнесу качественно повысить мотивацию и лояльности сотрудников ИБ, что в свою очередь, напрямую отразится на цифровой устойчивости организации.

В любом случае, для специалиста ИБ в мире цифровых двойников, цветных шляп, NFT, машинной этики и социального скоринга (привет, «Чёрное зеркало») всё важнее оставаться просто человеком, способным принять правильное решение в критичной ситуации.

Автор: Нина Шипкова, ведущий консультант по ИБ ГК Innostage
Источник: SecurityLab