Киберучения – это один из эффективных способов обучения сотрудников. Они могут отличаться по целому ряду аспектов, но главный их маркер – это практическая ориентированность.

Нередко они проводятся на реальной инфраструктуре конкретной компании. С одной стороны, это положительно влияет на эффективность такого обучения, с другой – создает ряд рисков для бизнес-процессов компании, вплоть до временной приостановки деятельности.

Однако, современная кибербезопасность уже не может обходиться без практикоориентированных подходов в обучении специалистов компании. В этой статье будут рассмотрены основные виды киберучений, их специфика и наиболее оптимальная периодичность проведения.

Актуальность киберучений

Практикоориентированные подходы – это образовательный тренд, который актуален для большинства отраслей. Применительно к кибербезопасности, он развивается несколько медленно, ввиду нишевости самого направления и достаточно высоких затрат на реализацию киберучений.

Эти затраты, как правило, обусловлены тремя факторами:

1. Специалисты. Почти всегда это высокоуровневые практики, которые тратят огромное количество времени  на то, чтобы знать и владеть актуальными технологиями реализации киберугроз.

2. Методология. В контексте практикоориентированного подхода методология должна опираться на те проблемы ИБ, которые реально существуют прямо сегодня, а в идеальном случае – будут существовать завтра. Это требует большого количества аналитической работы и частого обновления «обучающей программы».

3. База для обучения. Создание современного киберполигона – это достаточно затратно, поскольку это не просто компьютерный класс или некоторые серверные мощности, это полноценная инфраструктура компании, которую можно гибко настраивать.

Сергей Петренко
Д.т.н., профессор, руководитель направления "Информационная безопасность" Академии АйТи

Второй год подряд 85% представителей Советов директоров и исполнительного руководства ведущих отечественных компаний испытывают неуверенность в достаточности принимаемых мер по безопасности. При этом большинство руководителей стремятся увеличить скорость оперативного реагирования на новые вызовы и угрозы. В частности, выделяются значительные средства на создание и развитие Центров обеспечения безопасности (SOC) второго и следующего поколений, а также на безопасность в целом.

Однако возникают вопросы: обладают ли сотрудники компании достаточными навыками для реагирования на инциденты безопасности и для продолжения деятельности в условиях роста угроз безопасности? Достаточно ли у отечественных компаний возможностей для минимизации рисков прерывания этой деятельности? Какие дополнительные организационные и технические меры нужно предпринять для обеспечения требуемой безопасности и киберустойчивости (Cyber Resilience)?

Вероятно, высокая устойчивость критически важной информационной инфраструктуры государства и бизнеса в условиях роста угроз безопасности не сводится исключительно к способности оперативно реагировать на новые вызовы и угрозы. Требуются принципиально новые идеи и подходы к обеспечению киберустойчивости современных цифровых экосистем и технологических платформ. Как раз одним из таких подходов и является организация и проведение киберучений. Существенно, что киберучения позволяют промоделировать и заранее подготовиться к отражению как известных, так и неизвестных ранее атак (примерно 35% от 100% всех возможных атак).

Интерес к киберучениям со стороны бизнеса однозначно есть. В большей степени это зрелые, с точки зрения информационной безопасности, компании, которые постоянно работают над повышением уровня безопасности инфраструктуры компании. Разумеется, проводить киберучения в компании, где SOC фактически нет, и весь штат ИБ-отдела состоит из одного-двух специалистов – контрпродуктивно.

Виды киберучений

Киберучения могут отличаться по количеству участников, целям обучения, используемым методам и техническим мощностям, что порождает большое количество разных конкретных видов киберучений. Однако, в чистом виде можно выделить всего три формата.

Киберполигон

Для этого вида учений предварительно готовится «обучающая среда». В нее входят средства обучения, сценарии и методология. Помимо этого, воспроизводится инфраструктура, на которой специалисты будут тренироваться отражать атаки. Она может полностью или частично повторять инфраструктуру целевой компании, либо быть полностью условной.

Кирилл Романов

Менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт»

Классические оффлайн киберучения выглядят так: инженер посещает специализированный класс с тестовыми стендами (персональные компьютеры с настроенными под конкретные кейсы и задачи системами), проходит теоретический курс и отрабатывает полученные знания на стендах. Сейчас появилась возможность участвовать в таком формате учений онлайн.

К киберучениям стоит относиться как к дополнительному образованию, для которого нужно выделить отдельное время и ресурсы. Обучение требует времени и концентрации, и должны проходить отдельно от рабочего процесса. Это позволит сотрудникам усвоить новые знания и внедрить их в работу.

Любые практические знания, которые получает сотрудник, будут полезны для компании, это обязательная часть профессионального развития и наращивания компетенций ИБ-специалиста.

Весомый плюс киберполигонов – это отсутствие рисков для бизнеса. Инфраструктура представляет собой искусственный полигон, который никак не затрагивает бизнес-процессы компании.

Однако, эффективность такого обучения напрямую зависит от организаторов. Чем больше методология «курса» будет ориентирована на конкретную компанию и ее инфраструктуру, тем выше будет и эффективность.

Киберучения

Главное отличие от предыдущего формата заключается в том, что все обучение происходит в «полевых условиях», то есть на реальной инфраструктуре. Это многократно повышает вовлеченность специалистов в обучение, поскольку они, зачастую, не знают об искусственности проводимых атак и реально защищают компанию от «киберпреступников».

Иван Чернов
Менеджер по развитию UserGate (эксперт в сфере информационной безопасности)

Если рассматривать вопрос со стороны UserGate – вендора, чьи решения активно внедряются на российских предприятиях и в госструктурах, то киберучения – это, пожалуй, единственный эффективный способ для их сотрудников, отвечающих за ИБ, в реальных условиях и без отрыва от рабочих процессов получить практические навыки использования нашего оборудования. В ходе киберучений организаторы воссоздают реальную инфраструктуру организации с учетом эксплуатируемых средств защиты. Например, если компания использует межсетевые экраны нового поколения (NGFW) и другие модули экосистемы безопасности (UserGate SUMMA), то и на учениях они тоже должны быть задействованы. На мой взгляд, это обязательная часть работы ИБ специалиста и она должна быть встроена в его трудовые будни.

К такому виду учений, в первую очередь, относится редтимминг (от англ. Red Team), то есть полноценная атака на инфраструктуру компании с привлечением внешних специалистов. В зависимости от договора, она может быть полностью неограниченной или затрагивать только определенные аспекты.

Как правило, на старте учений Blue Team, то есть «защитники», ничего не знают о проводимом обучении. Представители Red Team знают только название компании, и все последующие данные собирают самостоятельно из всех возможных источников.

Главное достоинство такого формата – высокий уровень вовлеченности специалистов, поскольку для них киберучения ничем не отличаются от обычных трудовых будней. Недостаток заключается в том, что если «защитники» не справятся, то « атакующие» могут нанести реальный вред инфраструктуре.

«Тактические игры» 

Такой формат характерен не только для кибербезопасности, но и для любого направления, и представляет собой разные вариации игры «Что будет если…». В рамках этого формата задается конкретная ситуация, и участники (с элементами использования технических средств или без них вовсе) моделируют ответные действия компании, отдела или целого государства.

Наиболее эффективен такой подход в рамках больших мероприятий, где «за одним столом» могут оказаться представители разных компаний, а саму «игру» ведет компетентный спикер с достаточным опытом. Однако, подобные учения могут проводиться и внутри компании.

Плюс этого формата – возможность заранее представить модель реагирования на то или иное событие, не тратя на это больших финансовых средств. Такие игры помогают принимать решения именно на стратегическом уровне.

Задачи и частота киберучений

Киберучения как направление обучения позволяет компании выполнить две важные задачи, которые сложно «закрыть» другими методами:

1. Работа с новыми инструментами. После интеграции новых систем защиты инфраструктуры сотрудники получат реальный опыт их применения в условиях, которые максимально приближены к боевым.

2. Повышение устойчивости к продвинутым атакам. Типовые киберугрозы ИБ-специалист умеет отражать и так, поскольку сталкивается с ними постоянно. А вот передовые практики чаще всего встречаются при APT-атаках, которые и моделируются в ходе киберучений.

Вопрос проведения учений достаточно дискуссионный, единого подхода и регламента здесь нет. Однако, рост кибератак на российские компании не должен быть причиной отказа от киберучений, поскольку такая практика существенно дополняет компетенции ИБ-специалистов за счет ориентированности на обучение.

Александр Герасимов
Сооснователь и СISO Awillix

Учения, когда и так много атак еще более актуальны, чем обычно. Атаки, которые происходят на инфраструктуру часто могут быть очень примитивными: сканирование, перебор паролей, ddos. В этом случае реакция SOC-а и Blue team понятна и организована в один-два шага. Этому не надо учится, они и так прекрасно это умеют. Отработка инцидентов, с которыми сталкиваешься часто замыливает глаза, заставляет делать все на автомате.

Отражать цепочку действий в более сложной атаке гораздо сложнее и интереснее. Red team проводит сканирование, находит уязвимость, эксплуатирует ее, скрывает свои действия, повышают привилегии, продвигаются по сети, вытаскивают данные, обходят средства защиты с помощью своих техник. Вот тут уже становится интересно и есть что поотрабатывать, потому что атака долгая, есть разные шаги, преодоление различных точек в инфраструктуре. Нужно всю эту цепочку раскрутить, понять как произошел первоначальный доступ, куда злоумышленникам удалось проникнуть, что они смогли вывести и какие пользователи или устройства были поражены. Это не типичная история в жизни специалистов, но к ней нужно быть готовым. Только так есть возможность чему-то реально научиться на практике.

Итоги

Киберучения – это продвинутое направление обучения, которое ориентировано на те компании, которые уже достаточно зрелы с позиции информационной безопасности. В рамках этого направления критически важно установить цели и задачи, а также границы допустимого в ходе учений – иначе они просто превратятся в кибератаку ради кибератаки.

Важно не только провести киберучения грамотно, но и провести последующую работу по их итогам. В нее входит не только « разбор полетов» и действий сотрудников, но и конкретные управленческие решения, связанные как с организацией самого персонала, так и с выделением бюджета на интеграцию новых защитных инструментов.

При этом, наивысшая эффективность достигается при периодическом проведении учений. Это позволяет сделать процесс повышения устойчивости компании к кибератакам постоянным и динамичным.