Нападения для лучшей защиты
Что дают компаниям тренировки на киберполигонах
Несмотря на ежегодный рост бюджетов, выделяемых на кибербезопасность, большинство российских компаний по-прежнему можно взломать за несколько шагов. Одним из самых эффективных способов проверить и повысить защищенность IT-систем компании является их тестирование в боевых условиях — на киберполигоне в противостоянии с экспертами по взлому. Например, на онлайн-полигоне The Standoff 365, который запускает Positive Technologies. Регулярные тренировки позволяют добиться высокого уровня защищенности компании, подтвержденного этичными хакерами со всего мира.
Фото: Предоставлено Positive Technologies
Вопросы киберзащиты с каждым годом становятся все более острыми для компаний любого масштаба. Так, треть российских организаций в 2021 году подвергалась целевым атакам, а подозрительная сетевая активность была замечена практически в каждой организации, сообщали эксперты Positive Technologies. «Недопустимые события могут быть реализованы в любой компании, у которой есть IT-инфраструктура»,— говорит директор центра компетенции Positive Technologies Андрей Бершадский. Недопустимыми событиями он называет, например, хищение средств свыше определенной суммы, кражу конфиденциальной информации или взлом контрагента через цепочку поставок ПО.
Поэтому все больше компаний приходят к тому, что лучшая защита строится исходя из понимания, как компанию могут атаковать: 87% компаний заявляли о том, что хотели бы принять участие в киберучениях, писал “Ъ” 6 ноября 2020 года. Тогда Positive Technologies оценила зарождающийся в России рынок киберполигонов в 0,5–1 млрд руб. в год. «Сегодня объем рынка соответствует прежним позициям: в течение прошлого года компании "пробовали на вкус" разные типы полигонов, и, по сути, сейчас рынок находится в состоянии выбора и формирования критериев того, каким должен быть киберполигон»,— рассуждает Андрей Бершадский. В следующем году он ожидает бурный рост подобного рода продуктов.
Важность тренировок на киберполигонах была обозначена на государственном уровне в октябре 2019 года, когда премьер-министр России Дмитрий Медведев подписал указ о предоставлении государственных субсидий на создание киберполигонов. Помимо государственных киберучений в России есть и частные, например The Standoff, который проводит компания Positive Technologies. Идея этого полигона выросла из командных соревнований по безопасности CTF (Capture the flag — «Захват флага»). «В отличие от классического CTF, фишка The Standoff в том, что атакуемая инфраструктура построена на макете, где зрители и участники могут наблюдать последствия атак, например сход поезда с рельсов, если бы злоумышленники добрались до системы управления железной дорогой»,— рассказал один из участников команды «Газинформсервис», которая принимала участие в недавнем The Standoff на стороне защиты.
Макет представляет собой город-государство из прототипов реальных компаний из сферы логистики, промышленности, энергетики, финансов, телекоммуникаций и других областей. Однако макет — это вершина айсберга, за которым скрывается его программно-аппаратная часть. «За объектами на макете могут стоять IT-системы реального предприятия — партнера полигона, либо может быть создана инфраструктура, аналогичная реальной, либо воспроизведены отдельные ее элементы»,— объясняет Андрей Бершадский. Двойник — это не воспроизведенная один в один инфраструктура. Речь идет об отражении ключевых характеристик критичных для бизнеса процессов, в том числе связанных с технологическим производством, подчеркивает эксперт.
«Каждая компания, приходя на киберполигон, преследует разные цели: одни хотят в целом протестировать свою стратегию по кибербезопасности, другие — отдельные элементы инфраструктуры, а кто-то хочет проверить слаженность команды в боевых условиях и как сработают те или иные средства защиты»,— рассказывает директор департамента базы знаний и экспертизы Positive Technologies Михаил Помзов.
Кибербезопасность на полигоне The Standoff в разные периоды проверяли, например, «Азбука вкуса», Osnova и многие другие компании, которые захотели сохранить анонимность. «Например, ритейлера беспокоила защищенность программ лояльности и касс — им важно было убедиться в невозможности начисления себе бонусов для последующей оплаты ими покупок, а также невозможность продажи алкоголя после 23 часов»,— продолжает господин Помзов. После участия в полигоне партнеры получают отчет и рекомендации по запросам о том, как можно эти проблемы исправить. По словам эксперта, «новички» обычно приходят на полигон с более общими запросами, после чего корректируют свою работу и возвращаются на киберучения для отработки конкретных навыков.
Компании-партнеры предоставляют инфраструктуру, которая становится объектом битвы двух типов команд — «защиты», в которую входят различные эксперты по выявлению и реагированию на инциденты, и «нападения», то есть «белых», или этичных, хакеров. «Белые» хакеры атакуют объекты, что может привести к реализации на макете недопустимых событий, например разливу нефти, взрыву на газораспределительной станции, отключению линий электропередачи на подстанции. В команду защиты входят специалисты по информационной безопасности различных компаний — как коммерческих, так и государственных.
С 2016 года The Standoff ежегодно проходил в рамках международного форума по практической безопасности Positive Hack Days. С 2020 года мероприятие стало проводиться самостоятельно и вошло в Книгу рекордов России как самые масштабные киберучения: тогда за ходом онлайн-битвы наблюдали 30 тыс. зрителей. Positive Technologies планирует сделать кибертренировки доступными круглогодично и разработала онлайн-платформу The Standoff 365. Сейчас она запускается в рамках бета-тестирования среди 50 участников прошлых The Standoff, а к маю 2022 года доступ к платформе будет открыт пользователям со всего мира.
«Формально The Standoff всегда проходил в онлайне: команды работают удаленно, вся инфраструктура виртуальная. Макет — это скорее визуализация для зрителей, где каждый может увидеть последствия тех действий, которые происходят в виртуальном мире»,— рассказывает Михаил Помзов. По его словам, отличием онлайн-платформы The Standoff 365 от очных соревнований станет только отсутствие ограничений по времени и числу участников. «Хакерам не нужно будет два дня без сна сидеть за компьютером, чтобы уложиться во временные рамки мероприятия, и можно будет дать возможность участия всему сообществу»,— отмечает он. Учения на онлайн-платформе, по его мнению, будут нести еще больше практической ценности, так как у хакеров будет больше возможностей и времени для исследований, чтобы найти большую часть критичных уязвимостей и реализовать их.
«Ключевые ценности киберполигона для бизнеса — это возможности довести атаку до логического конца, верифицировать на практике недопустимые события, найти новые способы реализации недопустимых событий, которые ранее были неизвестны службе информационной безопасности»,— отмечает Андрей Бершадский. Кроме того, киберполигон позволяет на отдельно взятых системах провести Bug Bounty, то есть программу «охоты за ошибками», в рамках которой «белые» хакеры за вознаграждение находят уязвимости в информационных системах компаний, сервисах или приложениях.
Киберполигоны предлагают различные наборы сервисов и услуг. «На других полигонах атаки заранее заложены — к ним можно подготовиться, а на The Standoff хакеры не ограничены в методах атак»,— рассказывает Михаил Помзов. Если сценарии атак заложены заранее, то это априори не имеет ценности для бизнеса, а может быть полезно только для развития базовых навыков информационной безопасности у обучающихся, добавляет Андрей Бершадский. Ведь одна из ключевых задач киберполигона — это развитие навыков противодействия атакующим у команды защитников. «В обычных условиях развитие таких навыков происходит очень медленно, а на полигоне есть возможность за два-три дня получить практический опыт работы с атаками, которые в реальной жизни специалисты видят на горизонте трех, четырех, пяти и даже шести лет»,— рассказывает эксперт.
«Кроме того, компании не могут себе позволить пригласить на пентест, то есть тестирование защищенности сетей, тысячи хакеров со всего мира и предоставить им для этого свою инфраструктуру — такие сервисы им оказывают на международных киберполигонах, например на The Standoff. Мы обеспечиваем непрерывный трафик лучших хакеров со всего мира»,— рассказывает Андрей Бершадский. По его словам, это позволяет компании добиться состояния безопасности «беспрецедентно высокого уровня».
Полигоны позволяют протестировать систему безопасности в первую очередь на уязвимость перед недопустимыми для бизнеса событиями. Модель построения защиты, которая отталкивается от недопустимых для компаний событий, называется концепцией результативной кибербезопасности и сейчас активно продвигается Positive Technologies. В рамках этой концепции противодействие киберугрозам предполагается проводить в автоматическом режиме — с помощью метапродуктов компании. Результаты работы первого из них — MaxPatrol O2 — также можно было увидеть на The Standoff. Этот продукт позволяют автоматически обнаруживать и останавливать атаки и достигать эффекта, соизмеримого с работой команды высококвалифицированных сотрудников службы информбезопасности. В Positive Technologies уверены, что автоматизация киберзащиты поможет в том числе решить проблему дефицита квалифицированных кадров в отрасли, а определение недопустимых событий сделает киберзащиту более результативной.