Киберполигон AMPIRE – платформа подготовки персонала
31/01/2020
Площадок, где могут тренироваться хакеры, много. Площадок для тренировок «безопасников» почти нет. В компании «Перспективный мониторинг» решили исправить эту ситуацию.
ЛЮДЕЙ НЕТ, НО МЫ ДЕРЖИМСЯ
В марте 2019 года были опубликованы результаты исследования, проведённого в социальных сетях накануне крупной конференции Infosecurity Europe 2019. Более половины опрошенных посчитали, что основной угрозой безопасности информации является дефицит профессиональных навыков ИБ-департаментов. С этой же «проблемой наличия навыков» сталкиваются и HR-департаменты при наборе сотрудников в отделы информационной безопасности.
Аналогичное наблюдение есть и по России. За четыре года проведения цикла конференций «Будни информационной безопасности», организатором которого является АО «ИнфоТеКС», специалисты «Перспективного мониторинга» объездили почти четыре десятка городов в различных регионах. И очень часто слышали: «Мы хотим построить службу мониторинга событий и реагирования на инциденты, но людей нет». И нет центров компетенций, где таких сотрудников можно было бы готовить.
HARD? SOFT? WARE? SKILLS?
Очевидно, что без технического и методического обеспечения центр мониторинга не может работать. И сотрудники также должны обладать необходимыми навыками. «Жёсткие» навыки (те, которым можно научить и которые можно измерить) для сотрудников службы мониторинга — это знание технологий атаки и защиты, знание и умение применять средства защиты информации и другие инструменты. Личные качества (т. н. soft skills) — навыки командной работы, умение взаимодействовать с другими членами группы мониторинга и реагирования на инциденты, навыки тайм-менеджмента.
Подтянуть матчасть можно на курсах производителей оборудования или ПО, можно самостоятельно изучить доступные материалы, вебинары, live-demo. Но это будут сильно теоретизированные знания, зачастую оторванные от реальной ситуации, от того, с чем ежедневно работают центры мониторинга ИБ. И проблему развития softskills такой подход не решает никак.
Проблему получения навыков командной работы и продуктивного взаимодействия между ИТ- и ИБ-направлениями успешно решают киберучения: со сценарием, с вводными, с измеряемыми результатами. Но и в этом случае можно столкнуться с двумя важными ограничениями. Первое ограничение связано с невозможностью провести киберучения на «боевой» инфраструктуре. Если что-то пойдёт не так, есть риск нарушить бизнес-процессы. Второе ограничение — необходимость привлекать атакующую сторону. Если стоит задача повысить практические навыки защитников, то в киберучениях должен быть элемент противостояния компьютерным атакам. Да, на рынке есть услуга Red Teaming'а, но она дорого стоит, и её заказывают организации с высоким уровнем зрелости в области обеспечения информационной безопасности.Такие ограничения взывают к созданию киберполигонов: с максимальным уровнем автоматизации и максимально повторяющих реальные инфраструктуры.
УЧЕБНО-ТРЕНИРОВОЧНАЯ ПЛАТФОРМА
AMPIRE — это программный комплекс обучения методам обнаружения, анализа и устранения последствий компьютерных атак. Участники киберучений на AMPIRE примеряют на себя две роли — сотрудников групп мониторинга и реагирования.
Платформа AMPIRE — это смоделированная виртуальная инфраструктура организации, состоящая из нескольких сегментов: сетевая инфраструктура, ЦОД, ДМЗ, АСУ ТП, сегмент пользователей и разработчиков. В инфраструктуре могут быть развёрнуты средства защиты информации производства различных вендоров.
Группа мониторинга следит за событиями информационной безопасности, заводит карточки инцидентов, подтверждает инциденты, заведённые автоматическими средствами.
Группа реагирования выполняет рекомендации группы мониторинга, устраняет последствия инцидентов и «закрывает» обнаруженные уязвимости.
Пример дашборда, описывающего ход тренировки на AMPIRE
За проведение киберучений отвечает команда сотрудников «Перспективного мониторинга» — AMPIRE TEAM. Они помогают командам скоординировать действия и разобраться с особо сложными инцидентами и отвечают за работоспособность учебно-тренировочной платформы.
Основной сущностью киберучений на AMPIRE является так называемый «шаблон» — это смоделированная инфраструктура организации. Это могут быть предприятия ТЭК, телекома, банковской сферы.
Команда AMPIRE разрабатывает сценарии атак на эту инфраструктуру и полностью автоматизирует их. Таким образом в киберучениях не нужна дорогая команда нападения. Её роль играет автоматический атакующий.
Получив данные со средств защиты информации, группа мониторинга заводит карточки инцидентов, с которыми уже работает группа реагирования, и описывает вектора атак. Участники группы реагирования подключаются к узлам виртуальной инфраструктуры и предпринимают определённые шаги по устранению уязвимостей и последствий действий автоматического атакующего, включая изучение логов атакованных машин.
Задача команд в рамках отработки одного сценария — устранить все заложенные уязвимости и правильно описать действия атакующего в рамках killchain.
В отличие от CTF-мероприятий (Capture The Flag) или деловых игр, при киберучениях на AMPIRE команды не соревнуются между собой. Да, можно выделять отдельных сотрудников «За лучшее описание инцидента» или «За первую заведённую карточку инцидента», но глобально команды преследуют другие цели:
получить навыки обращения со средствами защиты информации;
научиться выявлять атаки;
наладить взаимодействие между подразделениями.
В 2019 году AMPIRE TEAM «Перспективного мониторинга» провела две серии публичных киберучений. Первые из них состоялись в начале апреля в Салехарде, где Управление ФСТЭК России по Уральскому федеральному округу совместно с Департаментом специальных мероприятий и Департаментом информационных технологий и связи Ямало-Ненецкого автономного округа провели методический сбор по технической защите информации в органах власти Урала. Вторые киберучения состоялись в середине сентября в рамках однодневной технической конференции для специалистов по информационной безопасности ИнфоТеКСТехноФест.