Ampire — это целая экосистема программных технологий, которая позволяет обучать пользователей методам обнаружения признаков компьютерных атак, анализировать причины их возникновения и, в конечном счёте, внедрять защитные меры для противодействия им. Компания «Перспективный мониторинг» начала разрабатывать первые прототипы киберполигона Ampire в 2016 году. ПМ — пионеры киберучений на специализированных платформах в России. Как коробочный продукт Ampire появился в 2018 году. В 2020 году начались подключения к полигону по модели SaaS.
Основная задача, которая легла в основу идеи разработки Ampire — практическая подготовка специалистов по информационной безопасности, с основным уклоном на работу в центрах мониторинга информационной безопасности (инхауз и аутсорсинговых SOC).
Везде, в любом регионе страны, специалисты по ИБ высказывают одну и ту же мысль — «Мы хотим построить службу мониторинга событий и реагирования на инциденты, но людей нет». И нет центров компетенций, где таких сотрудников можно было бы готовить. «Перспективный мониторинг» как разработчик киберполигона хочет дать возможность специалистам по ИБ обучать новых специалистов в условиях, приближённых к реальной инфраструктуре организации и её процессам.
ОПЫТ ЗАНЯТИЙ
Очевидно, что без технического и методического обеспечения центр мониторинга не может работать. И сотрудники также должны обладать необходимыми навыками. «Жёсткие» навыки (те, которым можно научить и которые можно измерить) для сотрудников службы мониторинга — это знание технологий атаки и защиты, знание и умение применять средства защиты информации и другие инструменты. Личные качества (т. н. soft skills) — навыки командной работы, умение взаимодействовать с другими членами группы мониторинга и реагирования на инциденты, навыки тайм-менеджмента.
Те люди, которые проходят занятия на Ampire, повышают практические навыки противодействия компьютерным атакам. В ходе занятий акцент делается именно на практику:
работа с различными средствами обнаружения атак;
анализ логов прикладных сервисов (веб-сервера, базы данных, удалённые средства управления и т.д.);
навыки устранения уязвимостей с помощью настройки сервисов, изменения на уровне сети виртуальной организации, внедрения межсетевых экранов, правки исходного кода и т.п.;
навыки совместной работы при расследовании инцидентов ИБ.
Опыт проведённых мероприятий на нашем комплексе позволяет говорить, что занятия на нём интересны как для начинающих специалистов, так и для опытных сотрудников, желающих «прокачать» отдельные технические моменты.
ВНУТРЕННЕЕ УСТРОЙСТВО
Киберполигон Ampire (Cyber Range в терминологии Gartner) содержит в себе несколько необходимых для подготовки специалистов элементов. В первую очередь это модели различных информационных систем общего и отраслевого назначения. Понятно, что для тренировок необходима инфраструктура, повторяющая технологии и сервисы реальных организаций. Данная задача решена в Ampire путём создания отраслевых ИТ-шаблонов. Те люди, которые приходят заниматься на платформе, могут не бояться что-то случайно сломать — у них развязываются руки, появляется возможность экспериментов и проверки гипотез, снимается блок «а вдруг я что-то сделаю не так и всё рухнет».
Обычно участники киберучений на Ampire примеряют на себя две роли — сотрудников групп мониторинга и реагирования. Группа мониторинга следит за событиями информационной безопасности, которые фиксируются интегрированными средствами защиты информации различных вендоров. Это могут быть сетевые и хостовые СОА/СОВ, антивирусные средства, SIEM системы, анализаторы логов систем и приложений.
Чтобы учиться противостоять компьютерным атакам нужна эта самая компьютерная атака. В Ampire роль атакующего автоматизирована, хотя есть возможность пригласить и живых людей в качестве RedTeam. Автоматический нарушитель реализует различные сценарии действий атакующего, характерные для шаблона информационной системы. Такие сценарии разрабатывают пентестеры и аналитики коммерческого SOC «Перспективного мониторинга». Киллер-фича последнего стабильного релиза платформы — конфигуратор сценариев тренировок. Благодаря ему преподаватель может самостоятельно, не обладая навыками программирования, в веб-интерфейсе платформы самостоятельно создавать и редактировать сценарии компьютерной атаки на инфраструктуру. В конфигураторе произвольно меняются не только вектора атак и способы эксплуатации уязвимостей, но и состав ИТ-инфраструктуры, на которой проходит занятие.
Разработчики Ampire позаботились и о преподавателях. В новой версии стали более удобными системы управления занятиями и пользователями, появилась расширенная статистика по занятиям и студентам.
ПМ РАЗРАБАТЫВАЕТ, УНИВЕРСИТЕТЫ УЧАТ
Ampire — это решение, у которого есть уже 4 коммерческих внедрения на российском рынке: вуз силового ведомства; РГУ нефти и газа (НИУ) имени И.М. Губкина; РТУ МИРЭА; вуз, учреждённый Министерством цифрового развития, связи и массовых коммуникаций РФ.
Эти учебные заведения активно эксплуатируют Ampire, обучают собственных студентов и оказывают услуги по дополнительному профессиональному обучению.
Что главное, когда сталкиваешься с компьютерной атакой в реальном времени? Оснащённость техническими средствами защиты? Принятые в организации политики безопасности? Плейбуки по реагированию на инциденты? Это всё нужно. Но главное — не паниковать. Если специалист знает, что делать, и умеет нажимать нужные кнопки, тогда организация сможет справиться с атакой с наименьшими потерями.