Хочешь мира – готовься к войне или зачем нужен киберполигон

Хочешь мира – готовься к войне или зачем нужен киберполигон

Создание киберполигона поможет существенно сократить время и затраты на планирование и подготовку киберучений.

image

Введение

Киберполигон – платформа для проведения тренировок по информационной безопасности разного формата. Отличие киберполигона «Ростелекома» от привычной виртуальной лаборатории состоит в том, что он предоставляет эмуляцию бизнес-процессов и информационной инфраструктуры типовых организаций различных отраслей (кредитно-финансового сектора, промышленности, энергетики, транспорта, связи). Участникам киберучений предоставляются технологии и инструменты для получения и отработки практических навыков по защите от кибератак.

Чем крупнее и сложнее виртуальная инфраструктура, тем больше вариантов проведения тренировок (обучений, учений режима «авария», образовательных мероприятий) и тем ближе к реальности и полезнее опыт участия.

За рубежом тематика киберполигонов давно вышла на государственный уровень.

  • Существует ряд предпосылок для создания национального киберполигона и в России:Задачи по обучению специалистов различного уровня: непрерывное развитие компетенций, оперативная переподготовка и повышение квалификации для уже работающих специалистов в ходе интенсивных учений в среде, максимально приближенной к реальной; выявление и направление в сферу информационной безопасности талантливых и заинтересованных школьников; техническая, организационная и методологическая помощь вузам для практического обучения студентов. Учения должны проводиться в команде с разделением по специальностям, под контролем опытного тренера, с системой объективной оценки результатов.
  • В зарубежных практиках наиболее популярен CyberGym: команды защитников и атакующих поселяются в отдельные университетские кампуса, участники работают как с информационной, так и с физической безопасностью без вреда для производств.
  • Контроль готовности ключевых предприятий и организаций к отражению кибератак, отладка взаимодействия крупных участников рынка, проверка сложных гипотез через проведение киберучений, в том числе, национального уровня. При этом очевидна опасность отработки практических навыков на реальных объектах: проведение атак (даже не целенаправленно разрушающих) может затронуть жизненно важные процессы предприятия.
  • Инициатива создания большого киберполигона с виртуальными инфраструктурами разных отраслей, значительная часть которых является государственными, наиболее логична от государственного заказчика (что подтверждают мировые практики: киберполигоны строятся местными homeland security).

Еще один важный аспект – импульсное влияние корректности работы одной отрасли на другую, распределение последствий атаки по цепочке вертикально и горизонтально интегрированных производственных систем. Как нарушение в работе одного из предприятий цепочки повлияет на стабильность остальных отраслей? Существует ли вероятность возникновения каскадов аварий при атаке на отдельные структурные элементы? Зарубежные практики отрабатывают эти аспекты в первую очередь. Например, задача реального учения в Таллинском Центре НАТО по сотрудничеству в сфере киберобороны с участием нескольких стран звучала следующим образом: «Как авария на очистных сооружениях повлияет на курс валюты?» В итоге выяснили, что повлияет: через сельское хозяйство, ритейл и прочие рыночные механизмы. Изучить и протестировать, как совокупность систем будет работать в нештатной ситуации – критически важно для проверки и повышения уровня защищенности государства.

Коммерческие компании также сталкиваются с необходимостью постоянного улучшения практических навыков по выявлению и противодействию кибератакам – отработке штатных и нештатных ситуаций в обстановке, максимально приближенной к «боевой». Очевидно, что теория, чтение учебников, просмотр презентаций, общение с коллегами не дают специалисту, особенно начинающему, владения этими навыками. Приобретение необходимого опыта в ходе профессиональной деятельности – слишком долго и всегда ограничено условиями каждого отдельного места работы.

В крупных корпоративных департаментах по информационной безопасности присутствует потребность не только в обучении, но и в контроле динамики повышения квалификации сотрудников:

  1. от стартового обучения начинающих сотрудников информационной безопасности,

  2. до периодических поддерживающих тренировок,

  3. и затем до масштабных учений всей команды ИБ.

Создать технологическую среду и поддерживать её длительное время в актуальном состоянии – наукоёмкая и ресурсозатратная задача. При этом необходимо учитывать специфику угроз информационной безопасности в конкретной отрасли. Очевидно, что создавать собственный киберполигон – убыточная история даже для крупной корпорации.

Как устроен киберполигон?

Киберполигон – это своего рода «виртуальная страна». Мы создаем типовые инфраструктуры отраслевых предприятий и связываем их друг с другом. При этом используется отраслевое программное обеспечение и оборудование. С их помощью эмулируются процессы реальной информационной инфраструктуры типовых предприятий и групп предприятий, объединенных единой специфической информационной и технологической средой.

Виртуальная система, по сути, – большая сеть из множества сегментов, включающих каналы связи, сетевые устройства, сервера, рабочие компьютеры, технологическое оборудование и любые иные специфические устройства, подключенные к этой сети. Она постоянно активна на уровне ПО и элементов инфраструктуры. Эмуляторы рабочих компьютеров действуют так, будто за ними сидят реальные пользователи, при этом существует опция включить операторов, совершающих ошибки.

В зависимости от потребностей и задач тренировки мы можем использовать разный набор СЗИ, находящихся в разной степени завершенности, работоспособности и даже поврежденности. Также повреждена или неправильно сконфигурирована может быть любая часть информационной системы эмулируемого предприятия: программное обеспечение, оборудование, сеть.

Последняя (но не по значению) составляющая часть национального киберполигона – цепочки сценариев нештатных ситуаций. Киберполигон предлагает как типовые комбинированные цепочки атак, так и кастомизированные или модифицированные под нужды конкретного мероприятия. Важно отметить, что при автоматизации компьютерных атак мы обращали внимание преимущественно на наиболее распространенные, деструктивные и сложные. Для упрощения конфигурации мероприятия блоки атак унифицированы: можно создать свою собственную цепочку атак или модифицировать текущую (заменой одного из блоков).

Отметим, что сценарии атак будут нужны не всегда – часть учений может проводиться с участием не только защитников, но и нападающих, и тогда не нужны никакие сценарии. Противостояние будет настоящим и непредсказуемым.

Мировой опыт создания киберполигонов

Проект строится не на пустом месте – было бы несправедливым говорить о его уникальности и первородности. В рамках изучения уже накопленного в мире опыта и выработанных подходов к созданию киберполигонов и исследовательских центров, нами были рассмотрены уже достигнутые результаты ряда научно-исследовательских лабораторий:

  1. Ames Laboratory

  2. Argonne national Laboratory

  3. Brookhaven National Laboratory

  4. Fermi National Accelerator Laboratory

  5. Lawrence Berkley National Laboratory

  6. Oak Ridge National Laboratory

  7. Pacific Northwest National Laboratory

  8. Princeton Plasma Physics Laboratory

  9. SLAC National Accelerator Laboratory

  10. Thomas Jefferson National Accelerator Facility

  11. Idaho National Laboratory

  12. National Energy Technology Laboratory

  13. National Renewable Energy Laboratory

  14. Savannah River National Laboratory

Рассматривались специализированные программно-технические комплексы, по сути являющиеся киберполигонами с той или иной спецификой:

  1. Ampire

  2. Cyberbit

  3. HNS CyberRange

  4. PaloAlto CyberRange

  5. US CyberRange – Virginia Tech

  6. Ixia CyberRange

  7. Advanced CyberRange Environment

  8. Cloud Range

  9. CyberWiser

  10. Circadence CyberRanges (CyRaaS)

Лучшие практики разработчиков, уже прошедших свой путь создания киберполигонов, учтены при реализации нашего проекта.

Многослойная архитектура киберполигона

Анализ целей и задач рынка, основного заказчика и изучение лучших практик привели к выводу о том, что наиболее целесообразным является построение киберполигона с многослойной архитектурой. Она добавляет универсальности использования. Если слои инфраструктуры связаны сервисами, мы можем заменить один слой системы на другой (одну отрасль на другую), не затронув функциональность системы. Пример на рисунке ниже:

  • На вершине айсберга находится Web-портал, описывающий сервисы платформы.

  • Технологическая платформа предоставляет сервисы:
    • Центра теоретической и практической подготовки,
    • Центра организации соревнований по информационной безопасности (CTF),
    • Центра киберучений.
  • Платформа виртуализации располагается на мощностях ЦОДа

Сервисная концепция киберполигона

Созданная нами инфраструктура призвана обеспечить функционирование отдельных сервисов в рамках сервисной модели киберполигона (см. рисунок).

Прежде чем выбрать уровень планируемого обучения важно оценить квалификацию участников: на основе самооценки, тестов, данных об уже пройденном обучении. Исходя из уровня участников, киберполигон может предложить вариативный набор: образовательных курсов, практических курсов (с тренером), киберучений (без тренера), соревнований по различным навыкам и компетенциям.

Основной подход любого вида тренировок – практико-ориентированный. Оценка действий сотрудников по результату практики основана на:

  • отсутствии нарушений в бизнес-процессах предприятия;

  • кооперации с другими подразделениями (владение регламентами);

  • компетентности противостояния наиболее распространенным киберугрозам на практике.

Как правило, киберполигоны не используются лишь с одной целью, ибо это нерентабельно. Киберполигон – это всегда, в том числе, исследовательская лаборатория. Её цели заключаются в проведении научно-исследовательских работ, исследовании новых перспективных технологий на защищенность, проверке соответствия существующих решений сертификационным требованиям. На киберполигоне это легко осуществить с минимальными затратами на создание исследовательской среды.

Также киберполигон часто используют как площадку для проведения конкурсных процедур. Там, где нужна отраслевая инфраструктура, но риски бизнеса слишком велики, чтобы пилотировать новые продукты в реальной производственной среде, могут быть использованы ресурсы киберполигона. Он позволяет осуществить как функциональное, нагрузочное тестирование, так и анализ на защищенность проверяемого программного обеспечения.

Еще один важный сервис платформы – охота за уязвимостями (bug bounty), которая проводится в интересах и по запросу вендоров программного обеспечения.

Заключение

Создание киберполигона поможет существенно сократить время и затраты на планирование и подготовку киберучений и обучающих мероприятий за счет готовой инфраструктуры, базовых сценариев и единой методологии проведения учений. Кроме того, Киберполигон обеспечивает достаточную гибкость и возможность переконфигурации модели под конкретный объект или группу объектов, а также возможность моделирования различных технологических процессов. Отметим также ряд основных возможностей Киберполигона:

  • Моделирование современных, актуальных кибератак. Отработка регламентов расследования, реагирования и практических способов защиты;

  • Обучение поиску как базовых, так и нетривиальных признаков атак;

  • Развитие навыков самостоятельной подготовки к кибератаке: выстраивание процессов анализа и защиты, самостоятельное написание регламентов;

  • Тренировки на реальном оборудовании, включенном в виртуальный Киберполигон (киберфизические последствия в реальном времени, например, POS-терминал начинает «выплевывать деньги»);

  • Возможность проводить киберучения на отраслевых площадках.

  • Снижение рисков за счет отработки регламентов по реагированию на внештатную ситуацию на внешней площадке;

  • Доступность инфраструктуры 365 дней в году.

Анна Олейникова, ведущий аналитик «Ростелеком-Солар»

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.