«Тренажерный зал для безопасности» или модель современного киберполигона

Александр Морковчин, руководитель группы департамента консалтинга центра информационной безопасности компании «Инфосистемы Джет»

В мае 2021 года в Токио появился киберспортивный тренажерный зал Esports Gym. В нем геймеры могут играть под руководством профессионалов, купив абонемент на месяц либо оплатив разовую трехчасовую тренировку.

Аналогичные тренажерные залы, только для безопасников, — киберполигоны — начали набирать популярность в России с 2018 года. И это проекты не только коммерческие, но и государственного уровня. В частности, Ростелеком до 2024 года планирует развернуть национальный киберполигон. При этом, согласно отчету Gartner, уже в 2022 году 15% крупных компаний будут использовать киберполигоны для развития навыков своих ИБ-специалистов.

Давайте разберемся в причинах бурного роста интереса к таким тренажерным залам и подробнее рассмотрим модель современного киберполигона.

Ошибаться стало дорого для бизнеса

Согласно аналитике Центра стратегических и международных исследований, количество киберинцидентов, которые принесли ущерб более $1 млн, за последнее десятилетие выросло почти в пять раз.

Такая почти экспоненциальная кривая роста ущерба тесно связана с цифровой трансформацией. По мере того, как ИТ становится сердцем современного бизнеса, возникает почти пропорциональная зависимость финансовых потерь от сбоев в работе ИТ-систем. Зачастую ИТ-системы заменить нечем: «ручных» вариантов функционирования бизнес-процессов уже просто не существует.

Современные злоумышленники хорошо понимают, сколько стоят для бизнеса даже несколько минут простоя, особенно для предприятий непрерывного цикла — крупных промышленных компаний, ИТ-компаний. Именно они чаще всего становятся объектами атак, особенно с применением вирусов-вымогателей. К сожалению, многие сегодня не готовы к отражению и активному противодействию таким атакам. Всё, что им остаётся делать — заниматься устранением последствий инцидентов или даже платить злоумышленникам за восстановление доступа к своей информации. Так, средняя стоимость выкупа за восстановление зашифрованных вирусом данных в 2020 году возросла на 33% по сравнению с 2019 годом (согласно отчету Fintech News ). А расходы бизнеса на восстановление после подобных инцидентов выросли более чем в два раза.

Проблема — «мало спорта» для специалистов ИБ

Наша команда пентестеров («белых хакеров») ежегодно проводит около 50 проектов по практическому анализу защищенности. Более половины атак, которые имитируют наши пентестеры, проходят без должного сопротивления со стороны команды ИБ заказчика. «Белые хакеры» просто остаются незамеченными.

Почему так происходит? Согласно аналитике центра реагирования Jet CSIRT (Security Incident Response Team), есть три основные причины, почему компании не всегда своевременно реагируют на инцидент:

• нет налаженной коммуникации внутри команды реагирования;

• нет выстроенного процесса реагирования и четких инструкций: реагирование осуществляется «по наитию»;

• и третья, основная причина — недостаток практических навыков, из-за чего команда часто допускает ошибки.

Другими словами, эффективное противодействие атакующим складывается из многих составляющих: это и понимание атак и методов их обнаружения, и слаженность работы команды, и практические навыки, которые надо системно тренировать — изучение теории, вебинаров или презентаций здесь не помогут. Есть такое выражение: «пока ты спишь, твой враг качается». Вот и хакеры непрерывно тренируются и накапливают экспертизу, проводя десятки различных атак ежедневно. Специалисты же внутренних служб ИБ не имеют возможности приобрести релевантный опыт в обнаружении и отражении атак на практике, поэтому к реальным инцидентам могут быть не готовы.

Как на это отвечает индустрия? Смена парадигмы

Современные модели безопасности (например, Zero Trust) подразумевают, что любая информация может быть скомпрометирована, а периметр и пароли ваших пользователей — взломаны.

Фокус обеспечения ИБ в индустрии смещается с предотвращения атаки на раннее обнаружение. Остаётся в прошлом запрещающий принцип построения системы защиты, когда компании создавали логические заборы в ИТ-инфраструктуре и надеялись на эффективность исключительно превентивных методов защиты. Создаются центры ГосСОПКА и центры мониторинга инцидентов информационной безопасности, развиваются услуги коммерческих SOC, в современных решениях для быстрого обнаружения и предотвращения последствий атак начинают использоваться автоматизация и машинное обучение.

Киберполигоны — это логичный ответ на развитие индустрии. Количество атак в дальнейшем будет только возрастать, и основная задача современной службы информационной безопасности — научиться своевременно реагировать на угрозы, не позволяя им нанести серьезный ущерб бизнесу.

Что такое киберполигон

Технически киберполигон — это виртуальная «многослойная» инфраструктура, которая является миниатюрной копией типового ИТ-ландшафта предприятия, с присущими ему особенностями и уязвимостями и всеми необходимыми средствами защиты. При этом в инфраструктуре симулированы бизнес-процессы предприятия — пользователи проверяют почту, работают с системами, смотрят YouTube и даже сидят в «Одноклассниках».

Однако «железо» — это только один из компонентов полигона. Основную ценность такого «тренажерного зала» составляет методологическая база: сценарии атак, обучающие материалы и лабораторные работы, опытные тренеры, которые могу подсказать, как действовать в той или иной ситуации.

Современные коммерческие киберполигоны обладают достаточной гибкостью: в зависимости от потребностей для тренировки могут быть использованы разные наборы СЗИ, адаптированы сценарии или инфраструктура.

Сервисная модель киберполигонов

Архитектура киберполигонов в большинстве своем обеспечивает функционирование нескольких сервисов, каждый из которых сформирован с учётом потребностей своего непосредственного целевого потребителя (CISO, HR, работники SOC и др.) и их задач. В таблице ниже — примеры сервисов, которые могут быть развернуты на полигоне (цветом выделены наиболее популярные).

Киберучения для специалистов по информационной безопасности	Тренировки, которые включают в себя и теорию, и различные лабораторные работы, и отработку сценариев предотвращения или расследования взломов
Тестирование средств защиты информации	Ежегодно на рынке кибербезопасности появляются новые решения для защиты информации. Выбрать наиболее подходящее или оценить эффективность можно как раз в тестовой среде, которую предоставляет инфраструктура киберполигона
Исследование угроз	Киберполигоны — это идеальная исследовательская среда, где можно безопасно протестировать эксплоиты, новые уязвимости и проверить защищенность новых технологий, не боясь остановить производственные процессы
Оценка компетенций	Киберполигон может использоваться для оценки навыков работников ИБ, при этом результирующая оценка складывается из успешного выполнения практических задач или наблюдения за поведением специалиста при расследовании атаки
Рекрутмент	На киберполигоне можно проверять навыки кандидатов при найме
Проведение CTF	CTF — командные соревнования, главной целью которых является захват «флага» у соперника. Соревнования позволяют в игровой форме осваивать практические навыки защиты информации

Модель использования киберполигона: on-premise, cloud и пр.

В каких случаях стоит строить собственный киберполигон, а когда лучше использовать услуги платформ, которые есть на рынке? Ниже приведены современные модели киберполигонов, а также их плюсы и минусы.

1) Построение собственного киберполигона

По пути создания собственного киберполигона, как правило, идут крупные компании. При этом для построения такого «тренажерного зала» привлекаются внешние экспертные команды, которые имеют в своем штате и пентестеров, и инженеров, и консультантов. Именно такая команда может построить эффективную платформу (ведь, как ранее было отмечено, киберполигон — это не только «железо», но и вся необходимая методология: сценарии атак, обучающие материалы, правильно выстроенные процессы). Плюс такой модели очевиден: ИБ-служба может отрабатывать внештатные ситуации в обстановке, максимально приближенной к «боевой», 365 дней в году.

Однако создание отдельной технологической среды и поддержка её в актуальном состоянии требует значительных инвестиций. Стоимость и необходимость своевременного обновления сценариев злоумышленника — основные минусы данной модели.

2) Периодические учения на коммерческих киберполигонах

Вариант, подходящий для большинства компаний. Коммерческие полигоны содержат различные модели инфраструктуры, типичные для той или иной индустрии, и имеют несколько сценариев атаки на выбор. В таких тренажерных залах можно не только обучаться индивидуально, но и устроить соревнование с другой командой, где одни защищаются, а другие нападают. Такие полигоны обладают достаточной гибкостью: в зависимости от потребностей для тренировки могут быть использованы разные наборы средств защиты, адаптированы сценарии или инфраструктура.

Минусы этой модели: такой «тренажерный зал» не доступен в режиме 24/7, само обучение необходимо согласовывать с провайдером платформы, а доработка инфраструктуры может занять значительное время.

3) Использование облачной платформы

В данной модели компании предоставляется удаленный доступ в уже готовую инфраструктуру: вам нужно только нажать пару кнопок, чтобы начать обучение. Такие платформы направлены в первую очередь на тренировку технических навыков, а отработке организационного взаимодействия и управленческих решений уделяется меньше внимания.

Заключение

Думаю, что каждый из вас хотя бы раз принимал участие в интерактивных квестах, где нужно найти подсказки в комнате, работать в команде и использовать свое мастерство, чтобы дойти до конца. Это целый час непередаваемых эмоций. За последний год я трижды участвовал в киберучениях на разных платформах и с разными сценариями. И каждое такое обучение похоже на квест, только гораздо интереснее, потому что позволяет не только получить удовольствие от игрового сюжета, но и потренировать практические навыки.

В общем, держите себя в форме, тщательно выбирайте платформу для киберполигона и постоянно пробуйте свои силы в противостоянии хакерам!