Автор: Ольга Зиненко, аналитик информационной безопасности, Positive Technologies

Число кибератак неуклонно растет в последние несколько лет. Так, к примеру, наша собственная статистика показывает, что ежегодно их число увеличивается в среднем на 20%. При этом меняются цели и задачи киберпреступников. Скажем, если несколько лет назад подавляющее число атак совершалось ради хищения денег, то сейчас преобладают те из них, в ходе которых похищается та или иная информация. Или, к примеру, соотношение между числом массовых атак и целенаправленных тоже существенно изменилось в пользу последних. То есть большинство атак хорошо организованы, тщательно спланированы и направлены на конкретную компанию или отрасль. Иными словами, хакеры стали более компетентными, а атаки усложнились. Что делает в таких условиях бизнес? А бизнес сегодня увеличивает вложения в собственную кибербезопасность, преодолевая даже вызванный пандемией COVID-19 экономический спад, сказавшийся в числе прочего и на расходах в сфере ИТ. И это не удивительно. Ведь мы помним, что, во-первых, хакерская активность растет. Во-вторых, ― ей все сложнее противостоять. Ну, и в-третьих, ущерб в случае реализации кибератак, огромен. В Cybersecurity Ventures , например, уверены, что к 2021 году киберпреступность начнет обходиться миру более чем в 6 трлн долларов в год.

Искали риски, а нашли опять вопросы

Цифры, согласитесь, впечатляющие. Однако, они не дают ответа на вопрос: «Чем грозит кибератака конкретно вашей компании?». Десятки лет эксперты по безопасности ищут способы как можно более точно оценить ущерб от последствий кибератак. За это время были разработаны сценарии аудитов и придумана методология оценки рисков , стали проводить анализ защищенности информационных систем и тестирование на проникновение. Компании стали уделять внимание обучению и проверке уровня осведомленности сотрудников в вопросах информационной безопасности, поскольку пользователи традиционно являются слабым звеном в защите. Все перечисленное отлично справляется с задачей повышения уровня защищенности компаний, но не позволяет проверить реализуемость рисков. Во время тестирования на проникновение (пентеста) оценивается сама система, настройки безопасности, сетевые устройства, поддерживающие сервисы, но никак не способность вашей службы ИБ выявить и противодействовать киберугрозам. Пентест всегда ограничен: списком ресурсов, которые «можно ломать», в сценариях поведения атакующих из-за невозможности влиять на реальную инфраструктуру. Эксперты по безопасности демонстрируют возможности злоумышленников, но доводить атаку до логического конца им, как правило, запрещено. Что это значит? Ну, например, если при тестировании на проникновение сталелитейного завода будет получен доступ к управлению доменной печью, ― считается, что угроза остановки производства актуальна. Продемонстрировать же полную остановку печи никто не позволит, поскольку это может привести к разрушению оборудования и многомиллионному финансовому ущербу. Получается, что возможность реализации киберриска остается условной. А в реальности владелец этого самого гипотетического завода так и не уверен, а возможна ли все-таки остановка сталелитейного процесса? Ведь до этого дело так и не дошло. А вдруг в реальной жизни атакующему не хватит прав? Или хватит? Вдруг сработает защитный механизм? Или не сработает?

Киберучения ― это уже мейнстрим

Получить более однозначную картинку помогают киберучения –контролируемые атаки, призванные проверить и улучшить навыки службы ИБ по обнаружению киберугроз и реагированию на них. Своего рода «киберзарница», которая проходит в безопасной среде. И знания, которые она дает, позволяют научиться выявлять и останавливать реальных злоумышленников на начальных стадиях атаки или даже на этапе подготовки к ней. Сценарии таких киберучений могут быть полностью автоматизированы, а могут реализовываться с привлечением команды атакующих (Red Team), состоящей из экспертов ИБ. Red Team имитируют действия настоящего злоумышленника, и это максимально приближает киберучения к реальности. Если же в мероприятии участвуют одновременно несколько команд атакующих, то появляется возможность всесторонне проанализировать защищенность компании и проработать больше техник и сценариев кибератак.

Идея само по себе не нова и абсолютно в русле мировых тенденций: существуют масштабные киберучения, например, Locked Shields компании CCDCOE, в котором принимают участие более 1200 экспертов ИБ, или Cyber Defense Exercise Агентства Национальной Безопасности США, которое проходит с 2001 года. Бывает, что организуются специфические отраслевые киберучения. Так, например, Европейское агентство по сетевой и информационной безопасности (ENISA) в декабре 2020 года проведет Cyber Europe 2020 , в котором организаторы смоделируют сценарии, касающиеся только здравоохранения. Кроме того, существуют небольшие тренировочные платформы с заранее определенными сценариями кибератак, которые сейчас набирают популярность за счет невысокой стоимости и охвата различной аудитории: от рядовых сотрудников до руководителей. Так, примерно за 90 тыс. долларов компания Cyberbit предлагает провести обучение для ключевых сотрудников компании длительностью от 3 часов для руководителей до 2 дней для сотрудников SOC. Учения от компаний Crowdstrike , Security Innovation , Vectorsynergy направлены на проработку сценариев реагирования на кибератаки, включают имитацию действий злоумышленников, но при этом выполняются на подготовленной инфраструктуре поставщика услуг (как вариант, в облачной инфраструктуре) и не учитывают особенности каждой компании-участника. Подобные платформы для киберучений ― доступный вариант обучения сотрудников, они масштабируемы, позволяют смоделировать конкретные атаки и отработать проблемные сценарии. Они хорошо подходят для отработки начальных навыков для компаний с низким уровнем зрелости ИБ. Однако нужно понимать, что ограниченность среды, использование типовых сценариев, не адаптированных под конкретного участника и не меняющихся с течением времени, не позволяют добиться решения той самой задачи с реалистичной оценкой актуальных рисков ИБ и их последствий. В жизни кибератаки не такие предсказуемые: злоумышленники находят новые уязвимости, используют ВПО, которое не обнаруживают антивирусы, и применяют другие неожиданные подходы.

Открытый киберполигон

Пожалуй, наилучшим решением проблемы является проведение киберучений с привлечением нескольких команд, атакующих цифровую модель организации, соответствующей реальной инфраструктуре компании – эдакого цифрового двойника (digital twin). Впервые такие цифровые двойники появились в промышленной сфере, где их использовали для моделирования различных ситуаций на заводах с учетом таких факторов, как расположение оборудования, перемещение сотрудников, реакция приборов и т.д. И да, создание киберполигонов – цифровых моделей организаций, используемых для киберучений – это дорогостоящая и трудозатратная задача, поэтому в основном ею занимаются на государственном уровне. Так, например, на построение национального киберполигона США компании Lockheed Martin было выделено 33,9 млн долларов . В России субсидию в размере 364,55 млн рублей получил ПАО «Ростелеком» с целью создания киберполигона в рамках программы «Цифровая экономика». Буквально на днях на этом поле появится еще один игрок ― с 12 ноября начинает свою работу The Standoff ― киберполигон, который создавался группой ИТ- и ИБ-экспертов , небезразличных к технологическому прогрессу, вне привязки к государственным инициативам. Это уникальная среда, которая позволяет продемонстрировать сценарии развития технологической инфраструктуры современного мегаполиса при тех или иных условиях, просчитать, как технологии будут взаимодействовать между собой и как будут влиять на них настоящие хакерские атаки. Здесь есть все те же объекты, что и в любом реальном городе: заводы, электростанции, банки, офисы, мобильная связь, транспорт, спортивные и развлекательные объекты (состав в принципе не ограничен). Отличительной чертой этого полигона является публичность и открытость: почти целую неделю любой интересующийся вопросами кибербезопасности может понаблюдать онлайн за киберучениями, в которых принимают участие несколько десятков команд нападения и защиты, действующими в интересах компаний, тестирующих свои на прочность технологии, бизнес-процессы и экспертов по безопасности.

***

Киберполигоны объединяют все преимущества технологии цифрового двойника и киберучений. Чаще всего, их использование целесообразно для крупных компаний, для которых актуальны кибер-риски, несущие огромный ущерб. Киберполигон оправдан для тех, кто отличается зрелой ИБ, стремится к практической безопасности: прозрачной, результативной и обоснованной. У каждой организации своя уникальная инфраструктура, процессы и бизнес-риски. Для того, чтобы корректно верифицировать риски и последствия их реализации, необходимо считаться с этой уникальностью. Киберполигон позволяет оценить критичность ресурсов и определить, что именно может заинтересовать злоумышленников. Red Team помогает в верификации рисков, актуальных для компании и их последствий. Сотрудники отрабатывают сценарии реагирования на кибератаки, нарабатывают навыки восстановления деятельности компании в случае непредвиденного масштабного инцидента кибербезопасности. Кроме того, служба ИБ «в бою» проверяет эффективность средств защиты и может протестировать новые ИТ- и ИБ-решения, оценить целесообразность их приобретения. И, наконец, бизнес может весьма прозрачно подсчитать сумму виртуального ущерба, нанесенного в рамках киберучений на цифровой модели его инфраструктуры, которого теперь можно избежать.