Успешная оборона бизнеса от киберпреступников требует досконального знания наиболее критичных бизнес-процессов и способности предугадывать действия киберпреступников. Для этого службы информационной безопасности проводят учения. Навыки киберобороны инфраструктур отрабатываются ИБ-специалистами на специальных площадках — киберполигонах. Как они работают и какую ценность приносят бизнесу? Рассказывает Антон Калинин, руководитель группы аналитиков центра мониторинга информационной безопасности и реагирования на компьютерные инциденты CyberART ГК Innostage.

Киберполигон — платформа для виртуального моделирования ИТ-ландшафтов различных сегментов бизнеса. Эти инфраструктуры практически повторяют те, которые используют настоящие организации. Такой подход позволяет с максимальной точностью эмулировать кибератаки и их последствия и, в результате, обеспечивать наиболее эффективную оборону, которая станет основой киберустойчивости бизнеса.

Назначение киберполигона — не только моделирование сценариев борьбы с действиями хакеров. Эта активность позволяет выявлять и закрывать уязвимости в информационных инфраструктурах. Кроме того, здесь отрабатывается взаимодействие сотрудников служб информационной безопасности, обучение персонала организаций и, в конечном счете, оценка эффективности ИБ-систем предприятия.

Место киберполигонов в ИБ-экосистеме

Киберполигон — не единственное решение, нацеленное на моделирование атак и подготовку к их отражению. Многие компании используют BAS-системы (Breach and Attack Simulation), с помощью которых выполняется регулярное автоматическое тестирование систем информационной безопасности. Казалось бы, в комплексе с многочисленными средствами защиты, предлагаемыми многими вендорами, они могут решить задачу организации превентивной и проактивной обороны инфраструктур.

Разницу между киберполигоном и BAS-системой проще всего описать на примере. Для подготовки пилотов гоночных болидов применяются виртуальные тренажеры, в которых эмулируются множество трасс и даже поведение соперников. Но ни один тренажер не заменит отработки навыков на реальном гоночном треке. В этом сравнении настоящая трасса и есть киберполигон. Он позволяет проводить киберучения с участием нескольких команд («нападающих» и «обороняющихся»), достоверно эмулировать реальные последствия атак и оценивать риски уязвимостей.

Российский опыт

Экосистема киберполигонов в России пока только формируется. Такие решения есть практически у всех крупных игроков рынка информационной безопасности. Они используют их как для собственных нужд, так и в коммерческих целях. В качестве примера можно привести проекты компаний BiZone, «Ростелеком-Solar», «Инфосистемы Джет». Активно ведется работа на государственном уровне: Минцифры России в рамках национальной программы «Цифровая экономика» осуществляет федеральный проект «Информационная безопасность». Его составная часть — создание киберполигонов как отраслевых, так и «универсальных», моделирующих информационную инфраструктуру целого города или даже небольшого государства.

Примером успешного проекта киберполигона может служить The Standoff, созданный Positive Technologies при участии Innostage. Он стал одним из первых полноценных киберполигонов у нас в стране. Здесь проводятся не просто учения по отражению хакерских атак, а целые масштабные мероприятия, в которых принимают участие и за которыми наблюдают сотни тысяч человек. На Standoff приглашаются лучшие команды тестирования на проникновения, которые к тому же проходят качественный отбор. Они соревнуются на моделях разных инфраструктур, а для проведения учений используется визуальная составляющая — макет, где в миниатюре воспроизведены технологические и бизнес-процессы.

Платформа для обмена знаниями

Любая служба, отвечающая за безопасность, нуждается в проведении тренировок и учений. Информационная безопасность — не исключение. Здесь тоже необходимы учебно-тренировочные занятия. Периодическая отработка действий при возникновении угрозы помогает нивелировать последствия нападения хакерских группировок.

Кроме того, киберполигоны важны и для повышения цифровой грамотности сотрудников, если угодно — для поддержания высокого уровня цифровой гигиены в организации. Конечно, донести до персонала компании порядок действий и навыки соблюдения правил ИБ можно и во время тренингов. Но киберполигон позволит еще и отрабатывать командные действия.

Коммуникационная составляющая информационной безопасности по мере усиления активности киберпреступников и усложнения технической составляющей их атак приобрела особенное значение. Организации, которые используют киберполигоны для обмена знаниями, получают возможность повысить уровень защищенности своей инфраструктуры, участники «маневров» — усовершенствовать свои практические навыки.

Киберполигон позволяет объективно оценить навыки кибербезопасности, дать рекомендации по их улучшению, выявить и устранить уязвимости как в ПО, так и в промышленных устройствах. Наконец, бизнес благодаря киберполигонам может оценить риски ИБ, и финансовые, и репутационные.

ИБ-маневры

Моделирование кибератак, и синтетическое, и базирующееся на основе реальных действий хакерских группировок, позволяет понять сценарии управления нападениями и особенности использования в них технологий и инструментария.

Киберполигоны моделируют реальные технологические, информационные и финансовые процессы российских компаний. Участники учений, «играющие» за хакеров, могут реализовать самые разнообразные угрозы: остановить подачу нефти в нефтепровод, отключить электроснабжение или подменить платежные поручения в межбанковских операциях. Отработать такие сценарии в реальных условиях просто невозможно. Поэтому киберполигон часто становится единственной возможностью смоделировать и саму атаку, и ее отражение, и устранение последствий.

В контексте такого моделирования ИБ-специалисты получают не теоретический, но и практический опыт противостояния киберпреступникам в реальном времени. При этом противником ИБ-службы выступает не машина, отрабатывающая заранее подготовленный сценарий, а команда квалифицированных «хакеров», которые тоже развивают свою атаку в реальном времени и реагируют на меры, предпринимаемые защитниками. Иными словами, нападающая команда сама решает, как именно она будет взламывать защиту виртуального предприятия.

Сотни умов совместно разрабатывают тактику нападения, осуществляют его, а их противники организуют противостояние. Таким образом, и у «красных» (преступников), и у «синих» (ИБ-служб), есть возможность попробовать свои силы в детектировании самых разнообразных атак, новых методов проникновения с использованием передовых инструментов мониторинга. Каждое такое мероприятие, кроме опыта для участвующих, дает неоценимую пользу для сферы ИБ. Новые направления, инструменты и тактики проникновения демонстрируются наглядно, и это позволяет проводить их детальный разбор, строить превентивную защиту для дальнейшего разбора и построения превентивной защиты и мониторинга в компаниях, в том числе и КИИ.

Такие тренировки дают свой результат. Известны случаи, когда ИБ-службы предприятий, приобретя в ходе киберманевров слаженность и опыт, успешно отбивали сложные целевые атаки реальных хакерских группировок. В частности, ИБ-служба одного из крупных российских предприятий смогла предотвратить компрометацию собственной инфраструктуры через уязвимости в почтовом сервере — и именно такая атака отрабатывалась ею до того на киберполигоне.

Киберполигоны и «белые хакеры»

Стоит отдельно остановиться на еще одной возможности киберполигонов. Ею не стоит пренебрегать в противостоянии с хакерами, и киберполигоны позволяют реализовать ее на практике. Речь идет о модели Bug Bounty, сотрудничестве с так называемыми «белыми хакерами».

Мы упоминали о ней, приводя в качестве примера киберполигон The Standoff. Эта площадка позволяет организовать сотрудничество бизнеса и белых хакеров для проверки систем или тренировки команд ИБ. Преимущество The Standoff — в большом количестве команд белых хакеров, которые тестируют системы и тренируют команды ИБ-служб. Это позволяет обеспечить разнообразие сценариев и применяемых хакерами инструментов, а значит, дать полную оценку состояния защищенности инфраструктуры и готовности профильных специалистов организации.

Однако стоит понимать, что даже регулярное сотрудничество с белыми хакерами само по себе не может решить задачу обеспечения безопасности инфраструктуры. Без сопровождения специализированных ИБ-компаний оно окажется, скорее всего, малоэффективным, ведь помимо выявления уязвимостей и предоставлении отчёта, необходимо одновременно на экспертном уровне оценить риски и предложить наиболее выгодные решения по предотвращению возможных кибератак.

Но, в любом случае, киберполигон — это ещё одно место для встречи белых хакеров и бизнеса, где можно обсуждать вопросы сотрудничества, и, в конечном счете, развивать рынок Bug Bounty.

Источник: GlobalCIO