22 июня 2022

Зачем нужны киберполигоны

Успешная оборона бизнеса от киберпреступников требует досконального знания наиболее критичных бизнес-процессов и способности предугадывать действия киберпреступников. Для этого службы информационной безопасности проводят учения. Навыки киберобороны инфраструктур отрабатываются ИБ-специалистами на специальных площадках — киберполигонах. Как они работают и какую ценность приносят бизнесу? Рассказывает Антон Калинин, руководитель группы аналитиков центра мониторинга информационной безопасности и реагирования на компьютерные инциденты CyberART ГК Innostage.

Киберполигон — платформа для виртуального моделирования ИТ-ландшафтов различных сегментов бизнеса. Эти инфраструктуры практически повторяют те, которые используют настоящие организации. Такой подход позволяет с максимальной точностью эмулировать кибератаки и их последствия и, в результате, обеспечивать наиболее эффективную оборону, которая станет основой киберустойчивости бизнеса.

Назначение киберполигона — не только моделирование сценариев борьбы с действиями хакеров. Эта активность позволяет выявлять и закрывать уязвимости в информационных инфраструктурах. Кроме того, здесь отрабатывается взаимодействие сотрудников служб информационной безопасности, обучение персонала организаций и, в конечном счете, оценка эффективности ИБ-систем предприятия.

Место киберполигонов в ИБ-экосистеме

Киберполигон — не единственное решение, нацеленное на моделирование атак и подготовку к их отражению. Многие компании используют BAS-системы (Breach and Attack Simulation), с помощью которых выполняется регулярное автоматическое тестирование систем информационной безопасности. Казалось бы, в комплексе с многочисленными средствами защиты, предлагаемыми многими вендорами, они могут решить задачу организации превентивной и проактивной обороны инфраструктур.

Разницу между киберполигоном и BAS-системой проще всего описать на примере. Для подготовки пилотов гоночных болидов применяются виртуальные тренажеры, в которых эмулируются множество трасс и даже поведение соперников. Но ни один тренажер не заменит отработки навыков на реальном гоночном треке. В этом сравнении настоящая трасса и есть киберполигон. Он позволяет проводить киберучения с участием нескольких команд («нападающих» и «обороняющихся»), достоверно эмулировать реальные последствия атак и оценивать риски уязвимостей.

Российский опыт

Экосистема киберполигонов в России пока только формируется. Такие решения есть практически у всех крупных игроков рынка информационной безопасности. Они используют их как для собственных нужд, так и в коммерческих целях. В качестве примера можно привести проекты компаний BiZone, «Ростелеком-Solar», «Инфосистемы Джет». Активно ведется работа на государственном уровне: Минцифры России в рамках национальной программы «Цифровая экономика» осуществляет федеральный проект «Информационная безопасность». Его составная часть — создание киберполигонов как отраслевых, так и «универсальных», моделирующих информационную инфраструктуру целого города или даже небольшого государства.

Примером успешного проекта киберполигона может служить The Standoff, созданный Positive Technologies при участии Innostage. Он стал одним из первых полноценных киберполигонов у нас в стране. Здесь проводятся не просто учения по отражению хакерских атак, а целые масштабные мероприятия, в которых принимают участие и за которыми наблюдают сотни тысяч человек. На Standoff приглашаются лучшие команды тестирования на проникновения, которые к тому же проходят качественный отбор. Они соревнуются на моделях разных инфраструктур, а для проведения учений используется визуальная составляющая — макет, где в миниатюре воспроизведены технологические и бизнес-процессы.

Платформа для обмена знаниями

Любая служба, отвечающая за безопасность, нуждается в проведении тренировок и учений. Информационная безопасность — не исключение. Здесь тоже необходимы учебно-тренировочные занятия. Периодическая отработка действий при возникновении угрозы помогает нивелировать последствия нападения хакерских группировок.

Кроме того, киберполигоны важны и для повышения цифровой грамотности сотрудников, если угодно — для поддержания высокого уровня цифровой гигиены в организации. Конечно, донести до персонала компании порядок действий и навыки соблюдения правил ИБ можно и во время тренингов. Но киберполигон позволит еще и отрабатывать командные действия.

Коммуникационная составляющая информационной безопасности по мере усиления активности киберпреступников и усложнения технической составляющей их атак приобрела особенное значение. Организации, которые используют киберполигоны для обмена знаниями, получают возможность повысить уровень защищенности своей инфраструктуры, участники «маневров» — усовершенствовать свои практические навыки.

Киберполигон позволяет объективно оценить навыки кибербезопасности, дать рекомендации по их улучшению, выявить и устранить уязвимости как в ПО, так и в промышленных устройствах. Наконец, бизнес благодаря киберполигонам может оценить риски ИБ, и финансовые, и репутационные.

ИБ-маневры

Моделирование кибератак, и синтетическое, и базирующееся на основе реальных действий хакерских группировок, позволяет понять сценарии управления нападениями и особенности использования в них технологий и инструментария.

Киберполигоны моделируют реальные технологические, информационные и финансовые процессы российских компаний. Участники учений, «играющие» за хакеров, могут реализовать самые разнообразные угрозы: остановить подачу нефти в нефтепровод, отключить электроснабжение или подменить платежные поручения в межбанковских операциях. Отработать такие сценарии в реальных условиях просто невозможно. Поэтому киберполигон часто становится единственной возможностью смоделировать и саму атаку, и ее отражение, и устранение последствий.

В контексте такого моделирования ИБ-специалисты получают не теоретический, но и практический опыт противостояния киберпреступникам в реальном времени. При этом противником ИБ-службы выступает не машина, отрабатывающая заранее подготовленный сценарий, а команда квалифицированных «хакеров», которые тоже развивают свою атаку в реальном времени и реагируют на меры, предпринимаемые защитниками. Иными словами, нападающая команда сама решает, как именно она будет взламывать защиту виртуального предприятия.

Сотни умов совместно разрабатывают тактику нападения, осуществляют его, а их противники организуют противостояние. Таким образом, и у «красных» (преступников), и у «синих» (ИБ-служб), есть возможность попробовать свои силы в детектировании самых разнообразных атак, новых методов проникновения с использованием передовых инструментов мониторинга. Каждое такое мероприятие, кроме опыта для участвующих, дает неоценимую пользу для сферы ИБ. Новые направления, инструменты и тактики проникновения демонстрируются наглядно, и это позволяет проводить их детальный разбор, строить превентивную защиту для дальнейшего разбора и построения превентивной защиты и мониторинга в компаниях, в том числе и КИИ.

Такие тренировки дают свой результат. Известны случаи, когда ИБ-службы предприятий, приобретя в ходе киберманевров слаженность и опыт, успешно отбивали сложные целевые атаки реальных хакерских группировок. В частности, ИБ-служба одного из крупных российских предприятий смогла предотвратить компрометацию собственной инфраструктуры через уязвимости в почтовом сервере — и именно такая атака отрабатывалась ею до того на киберполигоне.

Киберполигоны и «белые хакеры»

Стоит отдельно остановиться на еще одной возможности киберполигонов. Ею не стоит пренебрегать в противостоянии с хакерами, и киберполигоны позволяют реализовать ее на практике. Речь идет о модели Bug Bounty, сотрудничестве с так называемыми «белыми хакерами».

Мы упоминали о ней, приводя в качестве примера киберполигон The Standoff. Эта площадка позволяет организовать сотрудничество бизнеса и белых хакеров для проверки систем или тренировки команд ИБ. Преимущество The Standoff — в большом количестве команд белых хакеров, которые тестируют системы и тренируют команды ИБ-служб. Это позволяет обеспечить разнообразие сценариев и применяемых хакерами инструментов, а значит, дать полную оценку состояния защищенности инфраструктуры и готовности профильных специалистов организации.

Однако стоит понимать, что даже регулярное сотрудничество с белыми хакерами само по себе не может решить задачу обеспечения безопасности инфраструктуры. Без сопровождения специализированных ИБ-компаний оно окажется, скорее всего, малоэффективным, ведь помимо выявления уязвимостей и предоставлении отчёта, необходимо одновременно на экспертном уровне оценить риски и предложить наиболее выгодные решения по предотвращению возможных кибератак.

Но, в любом случае, киберполигон — это ещё одно место для встречи белых хакеров и бизнеса, где можно обсуждать вопросы сотрудничества, и, в конечном счете, развивать рынок Bug Bounty.

Источник: GlobalCIO

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар iTrend «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

19 апреля 2024

23 апреля в 15:00 пройдет открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов». Организаторы — коммуникационное агентство iTrend, ассоциация РУССОФТ и консалтинговая группа BITOBE.

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 

iTrend: интерес деловых СМИ к ИТ вырос в 6 раз за последние пять лет

20 марта 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали, как менялся медиаландшафт в ИТ-индустрии в последние пять лет. В компании сравнили количество упоминаний крупнейших российских разработчиков и системных интеграторов в деловых СМИ и пришли к выводу, что об ИТ-компаниях стали писать в 6 раз чаще.

 
Все новости iTrend