Об уникальной методике практического обучения в сфере ИБ рассказывает один из её авторов – профессор кафедры №252 РТУ МИРЭА Валентин Зязин.
– В чем особенности обучения студентов на вашей кафедре?
– В период образования нашей кафедры, а это было более 20 лет назад, в МИРЭА уже существовала многолетняя практика работы базовых кафедр. Все они были ориентированы на подготовку молодых специалистов для промышленных и научно-исследовательских организаций. В советские годы это реализовывалось через распределение выпускников, сейчас действует аналогичный правовой механизм – прием на целевое обучение. На нашу кафедру абитуриенты поступают и на «обычные» бюджетные места.
Особенности образовательной программы определяются двумя факторами. Во-первых, это требования Федерального государственного образовательного стандарта «Компьютерная безопасность», предполагающего значительно больший объем дисциплин математического цикла по сравнению с другими специальностями и бакалавриатом по ИБ. Во-вторых, с 2014 года кафедрой проводится работа по профилизации обучения в интересах кадрового обеспечения ГосСОПКА. Была проведена корректировка учебного плана. При этом учитывались требования профессионального стандарта «Специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак», принятого в 2015 г, а также целевые установки регуляторов. Изменения внесены в программы таких дисциплин и их блоков, как организационное и правовое обеспечение ИБ, программирование, администрирование и обеспечение безопасности сетей, ОС и СУБД. Также введены новые дисциплины «Системы обнаружения компьютерных атак и вторжений», «Предупреждение, выявление и установление причин и условий компьютерных инцидентов» и др.
Значительное внимание было уделено совершенствованию практический части обучения. На кафедре развернут специализированный комплекс учебно-тренировочных средств, позволяющий проводить на старших курсах лабораторные практикумы и учения в условиях, приближенных к реальным. Для краткости его называют киберполигоном.
Таким образом, созданы необходимые условия для обучения специалистов в интересах ведомственных и корпоративных центров ГосСОПКА.
– Термин «киберполигон» используется довольно часто, но может подразумевать совершенно разные по составу и назначению технические средства. Расскажите, пожалуйста, подробнее, что такое киберполигон кафедры, как строится его работа, какова материально-техническая база.
– С технической точки зрения киберполигон это достаточно мощная вычислительная система, способная поддерживать одновременную работу более 100 виртуальных машин, осуществлять хранение данных (виртуальных образов, резервных копий, документации) объемом более 10 Тб.
Созданное специально для киберполигона программное обеспечение поддерживает виртуальную модель предприятия ТЭК. Эмулируется информационная инфраструктура и процессы предприятия (включая реалистичный фоновый информационный обмен между пользователями и сервисами), атакующие воздействия. Также реализуются функции управления учебным процессом (визуализация сценариев атак, оценка результатов обучения, восстановление виртуальной модели предприятия перед началом учений).
Разработка этого ПО проводилась специалистами ЗАО «Перспективный мониторинг». Преподаватели кафедры активно участвовали на всех этапах разработки, начиная с подготовки раздела технического задания, описывающего планируемую методику обучения. Для этого были проанализированы и учтены преимущества и недостатки известных подходов. Отличительными особенностями методики являются: реалистичность, оборонительная направленность заданий, состыкованность с содержанием учебных дисциплин и сроками их прохождения, высокая степень вовлеченности обучаемых и соревновательная атмосфера.
Промежуточные версии разрабатываемого ПО апробировались непосредственно на киберполигоне кафедры, что позволило в 2018 году получить качественное и готовое к применению в учебном процессе изделие.
Создание киберполигона кафедры ведется с 2014 года. С учетом опыта обучения совершенствуются методические материалы, обновляются учебные сценарии атак. Разумеется, постоянного внимания и обслуживания требуют и технические средства.
– В чем отличия применяемой методики обучения от популярных в студенческой среде соревнований CTF?
– Процесс обучения начинается с отработки навыков оценки защищенности информационной инфраструктуры. Обучаемым предоставляется доступ к внутренним сервисам и рабочим станциям виртуальной модели предприятия, а также комплект учебной технической документации (логическая и физическая схемы сети, паспорта ключевых рабочих станций и серверов, матрица доступа, политика безопасности и т.д.). На этом этапе проводятся стандартные мероприятия по оценке защищенности: проверка полноты и актуальности предоставленных документов, выявление «нелегально» установленного программного обеспечения, поиск уязвимостей, проверка корректности настроек оборудования, общесистемного и прикладного ПО. Одновременно решается еще одна важная задача – знакомство обучаемых с защищаемой инфраструктурой. Тем самым происходит «погружение» в контекст учений.
Последующие этапы предполагают решение задач по мониторингу компьютерных атак и по реагированию на компьютерные инциденты. Для этого обучаемые делятся на группы и отрабатывают совместные действия при атакующих воздействиях, развивающихся по разработанным сценариям.
Группа мониторинга, по сути, представляет собой первую линию SOC, их задача – выявление и фиксация компьютерных инцидентов. Оценка деятельности данной группы осуществляется на основе количества заполненных карточек инцидентов, а также качества их заполнения (полнота описания, точность рекомендаций). Группа реагирования соответствует подразделению ИТ/ИБ компании, их задача: получая сообщения от группы мониторинга, принимать меры по реагированию и устранению причин инцидентов.
Немаловажным фактором успешного прохождения сценариев является организация эффективного взаимодействия между группами мониторинга и реагирования.
В основном обучаемые работают самостоятельно, опираясь на подробные методические рекомендации, разработанные для каждого учебного сценария.
Реализуемая методика обучения на киберполигоне в чем-то действительно напоминает CTF, но имеет ряд принципиальных отличий. Во-первых, она ориентирована, на «защитников», а не на «белых» хакеров. То есть акцент делается на отработке оборонительных навыков. Во-вторых, группы действуют внутри периметра предприятия, а не только снаружи. Им предоставлен полный доступ к элементам внутренней сети, включая коммутационное оборудование. Наконец, методика призвана воспитывать точность, внимательность, системность в применении средств защиты. Мы не пропагандируем культ хакерства (атакующие воздействия полностью автоматизированы и запускаются преподавателем — Ред.), а даем возможность обучающимся действовать с позиций сотрудников SOC-центра компании.
– Сколько человек одновременно может заниматься на этом полигоне, сколько по времени длится прохождение одного сценария?
– Полигон рассчитан на одновременную работу четырех групп по 3-4 человека. Сложность сценариев подобрана из расчета возможности их прохождения за 4 часа. При этом, несмотря на высокую производительность оборудования, требуется довольно большое время на перезагрузку виртуальной модели предприятия — около 40 минут. Поэтому за один день группа может пройти не более двух сценариев, с перерывом на обед.
– Какие возможности, помимо обучения студентов, имеет киберполигон?
– В первую очередь рассматриваемая методика ориентирована на студентов старших курсов специальности «Компьютерная безопасность». Изучаемые ими дисциплины дают необходимые теоретические сведения и практические навыки, которые комплексно используются и закрепляются в ходе учений на киберполигоне.
В позапрошлом году нами были разработаны две программы повышения квалификации по противодействию компьютерным атакам. Разумеется, что курсы рассчитаны на подготовленную аудиторию, имеющую профильное образование и опыт работы: администраторов безопасности, системных администраторов и т. п. В связи с выходом за прошедшее время большого числа новых правовых и методических документов создана еще одна программа — по организационно-правовым основам ГосСОПКА.
Таким образом имеются наработки по обучению на киберполигоне как студенческой, так и «взрослой» аудитории.
– Можно ли масштабировать и тиражировать этот опыт или он прикреплен исключительно к киберполигону кафедры?
– С учетом успешного опыта разработки нашего киберполигона «Перспективный мониторинг» продолжает развивать это направление деятельности. Поэтому при наличии достаточного финансирования можно строить аналогичные комплексы, приобретая необходимое оборудование и программное обеспечение. Думаю, что по этому пути пойдут только крупные отраслевые образовательные организации. Им потребуется разработать специализированные виртуальные модели и сценарии отражаемых атак, а также встроить в свой киберполигон средства защиты, используемые в соответствующих ведомственных центрах ГосСОПКА.
Но в любом случае необходимо наличие подготовленного преподавательского состава и инженерного сопровождения учебного процесса на киберполигоне.