Спецпроекты

Безопасность

Киберучения: как отработать реагирование на атаки хакеров на полигоне

Национальный полигон Ростелеком-Солар на сегодняшний день является основным инструментом проверки кибербезопасности в России. Он позволяет проводить масштабные кросс-отраслевые корпоративные учения, охватывающие отработку всех ключевых процессов служб информационной безопасности — от анализа защищенности и выстраивания системы комплексной безопасности инфраструктуры до выявления и отражения хакерских атак. О том, как создавался и функционирует киберполигон, а также об учениях, недавно проведенных на киберполигоне совместно с Security Vision, редакции CNews рассказала Анна Олейникова, заместитель директора департамента «Национальный полигон» по развитию бизнеса, Ростелеком-Солар.

СNews: Как Ростелеком-Солар пришел к созданию киберполигона? Как он устроен, каковы особенности технологического сегмента?

Анна Олейникова: Идея создания киберполигона зародилась еще в лаборатории кибербезопасности АСУТП Ростелеком-Солар. Создание киберполигонов — тренд последних лет в ведущих странах по всему миру. Их используют военные, правительства, крупные корпорации и образовательные центры — и неудивительно, учитывая острый дефицит квалифицированных кадров в области кибербезопасности. Мы в Ростелеком-Солар каждый день противостоим киберпреступникам и видим, что они постоянно совершенствуют методы своей «работы». Если мы в ответ не будем регулярно учиться и развиваться, то просто безнадежно отстанем и в итоге проиграем кибервойну.

Анна Олейникова: Идея создания киберполигона зародилась еще в лаборатории кибербезопасности АСУТП Ростелеком-Солар

Наш киберполигон состоит, по сути, из пяти крупных блоков: разработанной нами платформы для киберучений «Кибермир», подсистемы автоматизированного проведения кибератак, подсистемы автоматической оценки действий участников, эмуляции технологических и бизнес-процессов и подсистемы инфраструктуры. Сама инфраструктура в свою очередь включает виртуальные образы, реальное физическое оборудование и полунатурное моделирование. В совокупности все эти элементы позволяют нам не просто выдавать участникам какую-то ригидную информацию, а погружать их в интерактивную среду с актуальными именно для их специализации и отрасли атаками.

СNews: Заявляется, что основная задача киберполигона — это системное развитие и практическая подготовка кадров в области ИБ. Много ли киберучений проведено с момента создания? Кто стал основными участниками?

Анна Олейникова: С момента запуска весной 2021 года мы провели уже более 50 киберучений самого разного масштаба. К концу этого года число обученных нами специалистов превысит 600 человек — это и представители министерств, и сотрудники коммерческих корпораций, и начинающие ИБ-специалисты и студенты. Мы проводили и штабные киберучения для топ-менеджмента — учения в формате «деловых игр» по принятию верных решений в кризисных ситуациях, и чисто практические тренировки для ИБ-экспертов, и смешанные учения. Последний вариант лучше всего помогает отработать командное взаимодействие — как реагируют все сотрудники компании (от секретаря до генерального директора) на инцидент кибербезопасности.

СNews: Недавно совместно с Security Vision на базе киберполигона были проведены киберучения ИБ-специалистов Минэнерго. Как возникла идея совместного проекта? Чем он был обусловлен? Какие задачи решались? Учитывалась ли отраслевая специфика?

Анна Олейникова: Идея использования средств автоматизации расследования инцидентов возникла давно, так как это полноценный инструмент служб ИБ, использующийся в реальных инфраструктурах. В процессе предыдущих кибер-учений участники оставались наедине с SIEM системой и, учитывая ограниченные временные ресурсы, на полноценную обработку инцидента просто не оставалось времени. Как увязать разрозненные события в единую хронологию инцидента? Как получить дополнительные данные с целевых систем? Как вовремя выполнить сдерживание и подготовить отчет в нужной форме? Для всего этого современные SOC используют SOAR системы. Security Vision давно и хорошо зарекомендовала себя на рынке систем подобно класса. Так что появление продуктов Security Vision в арсенале защитников киберполигона оказалось как нельзя кстати.

Киберучения для Министерства энергетики были в первую очередь направлены на отработку межкомандного взаимодействия и на усовершенствование управления в кризисных ситуациях. Для учений использовалась специфическая инфраструктура электроэнергетического предприятия и реальное оборудование — все это позволило участникам киберучений отточить максимально полезные для ежедневной работы навыки и получить актуальные знания.

СNews: Как разделились обязанности команд Ростелеком-Солар и Security Vision при подготовке и реализации проекта?

Анна Олейникова: В рамках киберучения была внедрена система автоматического реагирования на инциденты от Security Vision, которая помогла участникам киберучений расследовать кибератаки и производить взаимодействие с координирующим центром. Как результат, по завершении мероприятия некоторые компании попросили поближе познакомить их с решениями этого класса с целью последующего внедрения IRP в операционную деятельность службы информационной безопасности.

Помимо внедрения вендорских решений мы работали в направлении сутевой составляющей мероприятия: совместно обсуждали и разрабатывали сценарии атак, методы детектирования и форму предоставляемой участниками отчетности.

Это был интересный опыт: мы обменялись с коллегами экспертизой в области актуальных кибератак; спорили, что будет интереснее для участников и в процессе длительных мозгоштурмов находили «то самое» решение. Простую, но не всегда осязаемую идею, которая может родиться лишь в команде единомышленников с глубокой степенью вовлеченности в свое дело. Все это позволило сделать сценарий, который мы реализовали на киберучениях, более интересным и приближенным к реальным инцидентам компьютерной безопасности.

СNews: Расскажите о ходе киберучений. Какие цели были в итоге достигнуты?

Анна Олейникова: Киберучения делились на два больших блока — работу экспертов ИБ по выявлению атак и работу отраслевого координационного центра. По сценарию хакеры решили нарушить штатную работу энергоснабжения вымышленного региона, который разделили на 7 районов. За защиту каждого района отвечала одна команда участников — они должны были не только выявить атаки, но и сохранить работоспособность электросети в своем районе. Координационный центр, в который вошли представители НКЦКИ, Минэнерго и Ростелекома, анализировал поступающие от команд данные об инцидентах, информировал участниках об угрозах и давал рекомендации.

Что касается целей, мы можем с уверенностью сказать, что все участники киберучений стали больше понимать, какие действия от них требуются с точки зрения взаимодействия с отраслевым координационным центром в случае ИБ-инцидента — грубо говоря, «куда бежать» и «зачем это надо». Они потренировали навыки мониторинга и получили практический опыт взаимодействия с координационным центром. Теперь, если в их организации произойдет ИБ-инцидент, они будут знать, с кем и как взаимодействовать и какие данные необходимо передать для того, чтобы обеспечить полноту и достоверность информации.

СNews: Планируется ли дальнейшее сотрудничество Ростелеком-Солар и Security Vision в проведении киберучений?

Анна Олейникова: Да, конечно. На текущий момент времени мы прорабатываем применение перспективных технологий мониторинга и реагирования на компьютерные инциденты. Помимо этого, мы работаем совместно в направлении расширения библиотеки сценариев атак и, я думаю, самое интересное, что мы можем вам представить, еще впереди. Приходите к нам, чтобы увидеть.

Короткая ссылка