| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Важной задачей любой деятельности является поддержание необходимого уровня квалификации, которая достигается путем проведения обучения персонала и его тренировки. В части обеспечения информационной безопасности также остро встает вопрос тренировки – как её проводить, не нарушая базовые бизнес-процессы и не ослабляя текущий контроль информационной безопасности? Ответ – тренируйтесь на киберполигоне!
В последние годы термин «киберполигон» получил широкое распространение. По сути, это платформа для проведения учений специалистов по информационной безопасности. Основной принцип работы на таких платформах построен на состязательном эффекте между командами. Давно признано, что игровая форма подачи информации и отработки навыков является наиболее эффективной. Обычно в учениях выделяют две стороны – так называемые red team и blue team. Первая команда – это команда атакующих, вторая – обороняющихся. Также, при определенных условиях к учениям продуктивно подключать иных сотрудников, отвечающих за обеспечение основных бизнес-процессов.
Таким образом, киберполигон позволяет:
-
проводить отработку атак (тестирование на проникновение) на «копию» ИТ-инфраструктуры предприятия, не создавая угроз основным бизнес-процессам;
-
получать срезы навыков и знаний; определять, какие необходимо предпринять действия (в части сотрудников) для выстраивания наиболее эффективной защиты; составлять карты развития компетенций;
-
осуществлять непосредственное обучение как сотрудников, отвечающих за ИТ и ИБ, так и представителей бизнес-подразделений;
-
апробировать новые подходы и инструментарий ИБ;
- проводить оценку рисков, влияние реализации тех или иных угроз на бизнес-процессы компании.
Хотелось бы отдельно упомянуть применение киберполигонов в образовательной сфере, в частности, в ВУЗах при подготовке специалистов для отрасли.
В отношении внутреннего устройства киберполигона специалисты обычно выделяют следующие типовые подсистемы/модули:
-
пользовательский интерфейс киберполигона – оболочку взаимодействия участников команд
-
инфраструктура, на которой выполняется оркестровка сервисов, и которая, в зависимости от потребностей, имеет 3 основных типа представления:
-
физическая эмуляция
-
виртуализация/контейнеризация
- облачные технологии
-
прикладной уровень обеспечения работы киберполигона (модули):
-
симуляция интернет-сервисов
-
управление компетенциями
-
симуляция атак
-
сбор данных и их анализ
-
симуляция пользовательской активности
-
оценка и отчетность
-
разработка сценариев и контента
- инструментарий тренеров
В зависимости от задач и специфики, в состав инфраструктуры киберполигона обычно входит некое прикладное ПО/сервисы, обеспечивающие основные бизнес-процессы. Это также может быть не только ПО, но и специализированные аппаратные решения. Максимальная приближенность к реальной инфраструктуре обеспечивает качество киберполигона, но увеличивает его стоимость. Компании должны сохранять баланс в данном вопросе.
Особую важность киберполигонов можно оценить, исходя из того, что ключевым элементом Федерального проекта «Информационная безопасность» (в рамках Национальной программы «Цифровая экономика Российской Федерации») является создание «киберполигона для обучения и тренировки учащихся, специалистов и экспертов разного профиля, руководителей в области информационной безопасности и ИТ современным практикам обеспечения безопасности» (данную задачу выполнил Ростелеком).
В настоящее время на рынке существует ряд компаний, предлагающих свои наработки в данной сфере, есть как международные решения, так и отечественные. В текущих реалиях, конечно, есть смысл рассматривать только отечественные решения, например, от компаний «Киберполигон», BI.ZONE, «Перспективный мониторинг», «Ростелеком» (есть ещё ряд решений, которые применяются для внутреннего использования либо в рамках проводимых мероприятий).
Наиболее популярны и востребованы так называемые финансовые киберполигоны, так как именно финансовые организации традиционно представляют наибольший интерес для хакеров и атаки на них отличаются сложностью и попытками встроиться в бизнес-процессы с целью модификации данных и получения прямой выгоды через хищения денежных средств. Как раз государственный «заказ» на киберполигон включал требования к созданию инфраструктуры, эмулирующей корпоративные сети организаций кредитно-финансовой системы Российской Федерации (так называемый «ИТ-киберполигон»), а также индустриальной инфраструктуры (автоматизированной системы управления технологическим процессом) энергетического сектора (далее – «Индустриальный киберполигон»). Отдельно требовалось создать «независимые центры по техническому тестированию программного и аппаратного обеспечения, в том числе средств обеспечения безопасности информации, позволяющих компаниям получить доступ к аналитической информации и результатам независимого тестирования предлагаемых на рынке решений». Системный подход к данному вопросу позволил реализовать необходимую техническую базу и организовать обучение и повышение квалификации кадров по информационной безопасности, причем разного уровня «зрелости» (от студентов до руководства подразделений, обеспечивающих информационную безопасность). Также не стоит на месте методологическое обеспечение – в проработку базы техник и тактик проведения атак включился отечественный регулятор ФСТЭК, взявший за основу всемирно известную методологию от некоммерческой организации MITRE.
Общая тенденция в сфере создания и развития киберполигонов – это развитие прикладных бизнес-систем, переход от захвата злоумышленниками контроля над инфраструктурой к «умному» вмешательству в работу эмулируемых организаций и оценке влияния такого вмешательства на бизнес-процессы, переход к риск-ориентированному подходу в организации противодействия атакам. Рассмотрим, к примеру, типовую инфраструктуру небольшого банка с точки зрения прикладных бизнес-систем.
Большинство перечисленных на изображении систем не представлено в существующих киберполигонах, тем более входящих в их состав специфичных аппаратных систем (например, банковских HSM и ATM). Их внедрение позволило бы точно оценивать влияние атаки на бизнес в целом, а также выстроить параллельно обучение сотрудников бизнес-подразделений, даже отработку ими планов обеспечения непрерывности, восстановления после сбоев. Подразделения информационной безопасности не должны замыкаться на свою деятельность, а атаки — это общая проблема, зачастую требующая взаимодействия всех подразделений и слаженности в действиях.
Сложность создания таких систем с «богатым» прикладным окружением обусловлена стоимостью таких решений для финансового сектора, а также сложностью поддержания их работы в режиме имитации работы. Отдельный вопрос всегда будет стоять в тестовых данных, а также в точках взаимодействия с внешним миром. Поэтому можно рассмотреть даже создание виртуального интернет-магазина, которому оказываются услуги эквайринга.
Также интересные мнения можно услышать насчет постепенного перехода учений на киберполигонах в статус полу-обязательных. Примечательно, что в 2020-2021 году Центральный банк проводил с крупнейшими банками мероприятия, названные киберучениями, по результатам которых оценивалась готовность банков к противодействию и реагированию на кибер-атаки. Данные учения в следующей итерации вполне могут быть проведены на базе государственного киберполигона, либо каким-то образом может быть рекомендовано проведение отдельного обучения сотрудников с подачей результатов в мегарегулятор. А существующие киберполигоны получат развитие в виде расширения ассортимента как средств защиты, так и прикладного программного обеспечения, эмулирующего основные бизнес-процессы, чтобы обеспечить самые разнообразные запросы заказчиков и специфику их систем и бизнес-процессов, через внедрение своеобразного конструктора киберполигона и наборов шаблонов, в том числе с предоставлением доступа к киберполигону как к облачному решению.