Что нужно учесть при построении собственной платформы для киберучений? Проверяем себя

Дмитрий Казмирчук, эксперт центра информационной безопасности компании «Инфосистемы Джет»

Итак, информационная безопасность вашей компании достигла определённого уровня зрелости, и вы хотите дополнительно повысить его с помощью тренировки практических навыков. Так сказать, приземлить «бумажную» и теоретическую безопасность на реальную жизнь. Что ж, идея отличная, и на помощь здесь приходит платформа для киберучений — «песочница», воссоздающая различные ИТ-инфраструктуры, информационные системы и сценарии атак с целью тестирования и практического обучения. С её помощью можно:

• потренировать процесс выявления угроз и индикаторов компрометации в инфраструктуре, а в идеале — ещё и отточить реагирование на выявленные инциденты;
• как следует протестировать новые (вероятно, отечественные) средства защиты в сценариях, приближенных к реальным, что сделает результаты вынужденной миграции на них предсказуемыми.

Ну а далее есть два варианта — можно воспользоваться готовым решением либо создать собственное. Если рассматриваете второй из них — эта статья для вас.

Мы уже прошли путь создания собственной платформы для киберучений, и далее я поделюсь чек-листом, по которому вы сможете проверить, всё ли учли в своих планах. Скажу по нашему опыту — процесс внезапно оказался довольно трудоёмким. Мы скормили ему несколько сотен продуктивных человеко-дней, и, похоже, это лишь начало.

На старте нужно определиться с целью создания платформы. Термин «киберучения» ещё окончательно не устоялся, и под ним понимают совершенно разные вещи. Нужно будет решить, будете вы строить площадку для проведения и разбора новых атак, проверки скорости реагирования команды SOC на инциденты или тренировочную зону для получения базовых практических навыков по анализу событий ИБ. Или и то, и другое сразу. От этого решения зависит объём дальнейшей работы, а, следовательно, и количество ожидающих вас хлопот.

Также вам понадобится команда квалифицированных энтузиастов с горящими глазами, готовых активно вложиться в создание чего-то нового (у нас таких набралось более двадцати, и это, не считая эпизодически привлекаемых коллег). И потрудиться ей будет над чем! Работа найдётся и для пентестеров, и для опытных расследователей инцидентов ИБ, и для архитектора, сетевиков, инфраструктурщиков, и для специалистов по администрированию самых разных СЗИ. Никто не уйдёт обиженным! Количество решений, которые потребуется принять, велико — брейнштормы и регулярный обмен идеями станут важной частью работы. Готовьте свои календари.

Вычислительные мощности. Вроде бы очевидно, но на самом деле не всё так просто. Если для создания базовой инфраструктуры из рабочих станций и серверов количество аппаратных ресурсов невелико, то для разворачивания всех желаемых средств защиты и имитации корпоративных информационных систем может потребоваться неожиданно большое количество вычислительных ресурсов и, особенно, оперативной памяти. Мы с этим столкнулись при модернизации нашего полигона, когда парк чрезвычайно голодных до ресурсов СЗИ стал разрастаться (а это неизбежно произойдёт при создании новых сценариев). Были замечены даже случаи каннибализма, когда одни средства защиты пожирали другие. В текущем срезе (для реализации около десяти сценариев различной степени «навороченности») мы задействовали 500 ГБ оперативной памяти.

Готовность к масштабированию. Обязательно предусмотрите возможность расширения в будущем. С развитием платформы повысится потребность проводить учения для большего количества участников. И лучше быть готовым к этому заранее. В нашем случае количество ресурсов для нужд платформы увеличивается в 2,5 раза ежегодно.

Запас идей. Процесс подготовки интересных и понятных сценариев для обучения — большая работа, требующая многократных прогонов и анализа, а также участия квалифицированных пентестеров и аналитиков. Прежде чем станет возможным выпустить сценарий в свет, потребуется много времени на его отладку и поиск всех нужных событий в логах. При создании своих обучающих сценариев мы ориентируемся на реалистичные цепочки атак (kill-chain), актуальные для современных инфраструктур: в данный момент работаем над сценарием с инсайдером, который с помощью фишинга, пары полезных утилит и общей эрудиции осуществил дефейс корпоративного веб-сайта.

Постоянная модернизация. Эффективная платформа — это живой организм, за которым нужно следить, кормить и не только поддерживать, но и развивать. Статичная — профита не принесёт. Будьте готовы к тестированию и внедрению новых средств защиты (здесь может потребоваться помощь служб ИТ и ИБ), подготовке актуальных обучающих заданий на злобу дня, отладке и совершенствованию текущих эксплуатационных процессов — всё нужно учесть и ничего не забыть.

Ассортимент обучающих программ. Для максимально эффективного использования платформы для киберучений нужно максимально широко привлечь сотрудников к тренировкам на ней. Ведь прочность цепи (в нашем случае это уровень ИБ) определяется прочностью самого слабого её звена. Подключить к участию в обучающем процессе желательно и аналитиков SOC, и инженеров, и бухгалтерию с секретариатом. И для каждого набора скиллов должны быть подготовлены релевантные задания, приносящие радость и пользу.

У себя мы решили сделать следующим образом — вести параллельную работу сразу по двум направлениям:

1. Базовые обучающие упражнения, позволяющие освоить азы ИБ в игровой форме, поработать с новыми средствами защиты, заблокировать несложную атаку в режиме реального времени либо попробовать не попасться на фишинг. Такие задания — для широкого круга «потребителей».
2. Приближенные к реальным полноценные цепочки атак, которые задействуют большое количество элементов инфраструктуры. Такие задания мы разрабатываем для специалистов SOC и им сочувствующих — можно получить практические навыки расследования инцидентов, анализа и корреляции событий, работы с журналами ОС и системой защиты из разношёрстных СЗИ. Внешние и внутренние злоумышленники, незамеченные бинарные уязвимости и ошибки конфигурирования, приводящие к сокрушительным результатам — всё это здесь.

Важный момент — для сохранения эффекта от тренировок и поддержания персонала в режиме «повышенной готовности» мы рекомендуем проводить учения раз в квартал. Это тот оптимум, который позволяет не растерять знания со временем.

Безопасность. Сама платформа — площадка, где позволено всё. Поэтому чрезвычайно важно решить вопрос её изоляции от продуктивной инфраструктуры, сохранив при этом доступность для обучающихся! Запускаемые в исследовательских целях зловреды далеко не всегда сидят смирно — иногда они охотно расползаются по сети. Сегментация сети и ISFW — ваши друзья.

Резервное копирование. Банально, но чрезвычайно важно. Платформа для киберучений — тестовая среда для экспериментов, поэтому стабильность её «внутренностей» находится под постоянной угрозой. Регулярные опыты, запуск новых эксплойтов и неумелые действия обучающихся рано или поздно добавят в вашу жизнь динамики, и лучше подготовиться к этому, тщательно всё забэкапив.

Комплект средств защиты. Если вы планируете внутри создаваемой платформы для киберучений воссоздать инфраструктуру, близкую к реальной, дать возможность сотрудникам поэкспериментировать с развёрнутыми в компании средствами защиты в безопасном режиме — вам потребуются эти самые средства защиты. И если это будут не только Open Source решения, нужно своевременно озаботиться лицензиями на продукты и следить за сроком их годности.

Тестовые прогоны и сбор обратной связи. Это чрезвычайно важный этап развития платформы, позволяющий ей двигаться в правильном направлении и быть наиболее полезной. Учитывайте пожелания участников киберучений, пересматривайте свой подход к подаче материала, добавляйте интерактив и соревновательные элементы. (Мы, например, сейчас работаем над индивидуальными и командными состязаниями, а также над системой оценки эффективности обучения.) Так вы получите действительно ценный продукт, который сделает информационную безопасность интересной и азартной!

User Interface и дизайн. Ваша инфраструктура и рычаги взаимодействия пользователей с ней не должны летать в воздухе — чем лучше визуализирован процесс обучения, тем эффективнее он будет. Принцип «воображение богаче зрения» тут не работает. Для комфортной работы с платформой нужны схемы, индикаторы прогресса и «ачивки».

Мониторинг. Сбор событий и непрерывный контроль работоспособности каждого компонента — важная часть спокойного сна создателей платформы для киберучений. В ходе создания Jet CyberCamp далеко не все компоненты инфраструктуры и СЗИ показывали стабильность работы в течение длительного времени. Чтобы не узнавать о проблемах по факту, крайне важно «держать руку на пульсе» с помощью системы мониторинга ключевых показателей работоспособности и заблаговременно принимать меры по реанимированию проблемных подсистем.

Каким же будет вывод? Построение собственной платформы для киберучений — задача трудоёмкая, но вполне выполнимая. И чем больше аспектов из нашего чек-листа вы учтёте на начальном этапе, тем легче будет ваш путь к нашей общей цели — готовности ко встрече с хакерами лицом к лицу.