Тяжело в учении, легко в кибербою
Российский бизнес оттачивает защиту от хакеров на киберполигонах
К 2023 году ландшафт киберугроз заметно изменился: по последним исследованиям информационной безопасности (ИБ), экспертам удалось подтвердить реализацию 89% недопустимых событий в организациях ключевых отраслей экономики. Постоянное развитие угроз в IT-пространстве изменило «бумажный» подход компаний к кибербезопасности на результативный, заточенный на защиту инфраструктуры от недопустимых последствий атак. Это привело к росту спроса организаций на специальные тренировки ИБ-специалистов на киберполигонах для повышения готовности специалистов. “Ъ” разобрался, как работает киберполигон, возможно ли столкнуться там с реальными угрозами и как отрабатывают навыки профессиональные защитники кибербезопасности.
Активная цифровизация российской экономики и ужесточение ситуации в IT-среде еще в прошлом году выявили уязвимости в защите инфраструктуры даже крупнейших отечественных компаний. Рост кибератак неоднократно приводил к остановке работы сервисов и даже целых ведомств — так, например, произошло с Федеральной таможенной службой в текущем году и, по неофициальным данным, с Росавиацией весной прошлого года. Обе структуры после атаки злоумышленников были вынуждены приостановить работу и перейти на бумажный документооборот. Страдал от кибератак и бизнес. Реализованные злоумышленниками события в российских организациях почти во всех случаях являются недопустимыми для них: именно такие сценарии должны предотвращать внутренние подразделения компаний, отвечающих за ИБ. Но в единичных случаях компаниям удавалось отразить нападение без потерь независимо от количества установленных средств защиты.
Все примеры показывают одно: за каждой системой кибербезопасности стоят люди, которые ею управляют и реагируют на инцидент, и нередко в первую очередь от них зависит защищенность организации. Для постоянного «поддержания в тонусе» специалистов и понимания самых современных угроз компании участвуют в киберучениях, чтобы погрузиться в реальные условия хакерской атаки.
Киберучения — это практическая, но безопасная для участников тренировка на реальных кибератаках этичных, или, как их называют в отрасли, «белых» хакеров, которые не отличаются от реального инцидента и позволяют отточить навыки командной работы ИБ-специалистов. Для проведения профессиональных учений необходим киберполигон, который представляет собой цифровые копии типовых инфраструктур предприятий и объектов важнейших отраслей экономики со специфическим оборудованием и софтом.
Один из таких киберполигонов — Standoff — был развернут с 17 по 20 мая и представляет собой модель виртуального Государства F (так организаторы называют цифровую копию взаимосвязанных отраслей на своем киберполигоне), где есть вся присущая реальной стране инфраструктура.
«За последний год практически все отечественные компании подверглись кибератакам, причем во многих случаях злоумышленникам удавалось достичь своей цели и нанести ущерб бизнесу,— рассказал директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков.— Киберучения позволяют проверить на прочность систему кибербезопасности, стек технологий, а также узнать, хорошо ли в компании выстроены процессы реагирования на угрозы».
Киберполигон Positive Technologies работает для атакующих 24/7, но ежегодно в рамках мероприятия он открывается для всех команд и зрителей, в нынешнем году — в 11-й раз. Само мероприятие Positive Hack Days проводится компанией—вендором ИБ-решений и лидером в области результативной кибербезопасности Positive Technologies уже 12-й год подряд, и в текущем году — как единственный в России открытый фестиваль кибербезопасности. В компании отмечают, что новый формат и площадка в парке Горького выбраны неслучайно: важно привлечь к участию не только ключевых специалистов отрасли, но и людей, которые только знакомятся с кибербезопасностью на бытовом уровне. Поэтому часть PHDays 12 была доступна всем посетителям парка бесплатно.
Основано на реальных событиях
В 2023 году наблюдается прирост доли инцидентов, затронувших веб-ресурсы организаций: с 17% до 22% относительно итогов 2021 года. Наибольший удар пришелся на госучреждения: количество успешных атак, направленных на сайты, выросло более чем в два раза. По словам Алексея Новикова, компании чаще всего взламывались с помощью фишинга, эксплуатации уязвимостей на периметре, взлома веб-приложений или просто в результате перебора паролей для сервисов удаленного доступа. При этом государственные, медицинские учреждения и промышленность чаще всего находят в топе интересов злоумышленников.
Представители крупнейших российских организаций указывают, что при проведении киберучений должны быть учтены особенности инфраструктуры. «Идеальный киберполигон — тот, где учтена специфика деятельности организации»,— считает заместитель начальника департамента мониторинга информационной безопасности Газпромбанка Евгений Горбачев. Например, для банка это могут быть платежи или другие бизнес-процессы, угрозы которым важно отработать, перечисляет он.
Главной особенностью киберполигона Standoff можно назвать реалистичность кибератак. В первую очередь это настоящий постоянный вредоносный трафик, направленный на инфраструктуру жертвы, которой в этом году может стать любой участник независимо от размера его собственной инфраструктуры. Например, на киберучениях Standoff 11 представлены объекты компании финансового блока (Central Bank of the Standoff), промышленного (Big Bro Group), транспортного (контролирующая все пути сообщения города) и других значимых секторов экономики. В режиме реального времени команды могут наглядно увидеть последствия атак на свою инфраструктуру.
В Positive Technologies отмечают, что всем специалистам необходимо понимать возможность и масштаб сценариев атак любого типа, которые приводят к недопустимым для организации событиям. В текущем году на киберполигоне возможно реализовать более 140 недопустимых событий. Например, в случае с аэропортом, который должен работать постоянно и обслуживать как грузовые перевозки, так и пассажирские, отключение электроэнергии может привести к сбою в работе диспетчеров и других критически важных специалистов, что влечет за собой последствия от транспортного коллапса до крупной аварии.
На Standoff недопустимые события реализуются через поиск уязвимостей в инфраструктуре жертвы, атакующие могут использовать любые — и самые современные, и уже исследованные — сценарии нападения. «Победит та команда "белых" хакеров, которая сможет реализовать наибольшее количество недопустимых событий»,— рассказывают в компании. Так защитники смогут убедиться в серьезности последствий разных атак и, конечно, отработать их командное отражение, объясняют в Positive Technologies.
Во время киберучений отрабатываются основные сценарии работы службы информационной безопасности, рассказывает Евгений Горбачев. Первое — это анализ IT-инфраструктуры, определение возможных векторов атак и изучение доступных средств защиты. Затем следует настройка сбора логов событий и разработка правил корреляций. И третье: определение мер предполагаемого реагирования исходя из векторов атак, говорит эксперт. Важным навыком, отрабатываемым на киберполигоне, является оперативное обнаружение и реагирование на атаки в стрессовых условиях. Изучение тактик и техник проведения атак на практике, а также командная работа защитников являются преимуществом участия в киберучениях, уверены в Газпромбанке.
Сила в команде
В киберучениях Standoff в нынешнем году приняли участие 22 команды атакующих и 7 команд защитников. Самыми зрелыми и понимающими важность киберучений в формате полигона оказались банки, убедился “Ъ”: больше половины команд-защитников были представлены именно ими. Вторые по количеству — представители энергетики и добывающей отрасли. На предыдущих открытых киберучениях в рамках PHDays размер команды был ограничен 10 участниками, но развитие площадки подтолкнуло организаторов к масштабированию команд до 15 человек: события происходят очень быстро, интенсивность атак высока, к тому же в идеале работать должна связка из защитников нескольких специализаций, поясняет бизнес-лидер киберполигона Standoff 365 Елена Молчанова.
На открытом киберполигоне как участники, так и зрители, получают ценный опыт: наблюдая за работой команд, все видят, как могут действовать злоумышленники, на что направляют ресурсы и как строят атаку. «Только за первый день Standoff, в рамках PHDays 12, атакующим командам удалось реализовать более 25 недопустимых сценариев, в том числе хакеры проникли в инфраструктуру завода по обогащению урана, созданную в этом году на полигоне»,— рассказал СРО Standoff 365 Ярослав Бабин. За четыре дня атакующим удалось реализовать недопустимые события 204 раза. Чаще всего были реализованы утечка конфиденциальной информации (32 раза) и распространение вируса-шифровальщика (31 раз).
Также за все время кибербитвы в Государстве F атакующие сдали 209 отчетов об уязвимостях, из них 58% — об уязвимостях критического уровня риска, 24% — высокого и 17% — среднего. Наиболее популярным типом выявленных уязвимостей стало удаленное выполнение кода (Remote Code Execution). «Для команд защитников это огромный опыт: за несколько дней изучить самые актуальные и серьезные методы атак»,— считают организаторы Standoff 11. Команды защитников подготовили более 200 отчетов о выявленных инцидентах и расследовали 11 атак, которые привели к недопустимым событиям. Для мониторинга и расследования инцидентов участникам были предоставлены продукты Positive Technologies.
Standoff 11 показал на практике последствия самых актуальных в 2023 году киберугроз для объектов, которые в первую очередь подвергаются нападениям реальных хакеров. Спрос на экспертизу со стороны специалистов по информационной безопасности подтверждает рост рынка центров мониторинга и контроля кибербезопасности (SOC) — в сравнении с первым кварталом 2023 года интерес к ним со стороны российского бизнеса составил 25%, а к концу года динамика может достигнуть 70%, отмечают исследователи рынка. Это связано с постоянно растущим напряжением в киберпространстве — так, объем персональной информации граждан, незаконно попавшей в сеть за первый квартал, превысил 118 млн уникальных записей, что в 2,3 раза выше, чем за аналогичный период прошлого года. Киберполигон уже стал необходимым для специалистов местом тренировок и обмена опытом, спрос на который растет пропорционально росту киберугроз.