Киберучения

Киберучения (англ. Adversary Emulation) — процесс отработки навыков по выявлению компьютерных атак и/или реагированию на инциденты у специалистов в области информационной безопасности, а также их обучение использованию инструментов защиты систем. Целью учений также может быть проверка информационных систем на устойчивость к кибератакам.

В отличие от испытания на проникновение киберучения в первую очередь нацелены на проверку навыков персонала и проходят по согласованному сценарию^[1]. Считается, что киберучения ведут свою историю с турниров Capture the Flag, популярных среди студентов технических и военных вузов США^[2].

Классификация

Специалисты выделяют следующие типы киберучений:^[3]

по формату

• теоретические (штабные учения, tabletop) — учения, направленные на обсуждение организационных задач и тренировку практики принятия управленческих решений;
• практические (функциональные, fulllive) — проведение опытных мероприятий с целью отработки разнообразных навыков по информационной безопасности. Часто проходят с проведением кибератак, во время которых участники отрабатывают практические действия по реагированию на инцидент;
• гибридные (комплексные, hybrid) — комбинация элементов теоретических и практических учений;

по цели проведения

• отработка индивидуальных навыков и умений лично и в составе команд. Большинство таких киберучений реализуется в формате CTF, которые проводятся либо самостоятель¬но (Hack The Box^[4]), либо в рамках тематических конференций (DEFCON^[5], RSA Conference^[6]). В России к этому направлению относятся, например, международные киберучения Standoff. Подобные учения также могут проводиться в качестве квалификационных испытаний после завершения курсов по кибербезопасности (Cyber Battle of Estonia^[7], The Coalition Warrior Interoperability Exercise^[8] и другие);
• отработка вопросов взаимодействия государственных структур (чаще военных) с представителями частного сектора. В ряде стран для этой цели разрабатываются специальные долгосрочные программы, предполагающие проведение киберучений. Наиболее комплексный подход по данному направлению реализуется в США (так, при поддержке Киберкомандования США Мэрилендский институт инноваций и безопасности (MISI)^[9] организовал киберучения Hack The Building^[10]. Задача участников киберучений заключалась в том, чтобы проникнуть в полностью оборудованное «умное» здание площадью 150 000 квадратных футов, которое изображало вымышленную оборонную компанию;
• отработка тактических навыков и координация киберопераций в информационном пространстве. К киберучениям данного типа можно отнести LockedShields — одни из самых масштабных европейских киберучений, организатором которых выступает Киберцентр НАТО в Таллине.

по масштабу

• объектные (отрабатывается атака на конкретное предприятие);
• отраслевые (для моделирования нападения на несколько компаний из одного сегмента);
• кросс-отраслевые;
• региональные, международные и межгосударственные.

по доступности

• открытые (принять участие в киберучениях может любой желающий);
• закрытые (организатор приглашает ограниченное количество специалистов по информационной безопасности).

по уровню публичности

• общедоступные (результаты киберучений публикуются в СМИ);
• корпоративные (киберучения на инфраструктуре компаний, результаты которых не публикуются в СМИ).

Участники киберучений

Команды, принимающие участие в киберучениях, именуются по цветам в зависимости от направления деятельности: «Красные» (Red Team, атакующие), «Синие» (Blue Team, защитники)^[11]. Расширенная версия классификации участников, включает также команды «Фиолетовых» (Purple Team), «Жёлтых» (Yellow Team), «Зелёных» (Green Team), «Оранжевых» (Orange Team) и «Белых» (White Team)^[12].

Красная команда

Основная статья: Red team^[англ.]

Группа специалистов по кибербезопасности (могут быть как самой компании или поставщика соответствующих услуг, так и независимыми исследователями безопасности), тестирующая информационную систему компании на уязвимость и имитирующая действия злоумышленников с помощью хакерских техник и тактик (в отличие от участников испытания на проникновение, которые используют стандартные инструменты пентестинга и проводят тест в краткие сроки). В некоторых исследованиях подчеркивается, что тестирование на проникновение является частью редтиминга^[13]. Другие названия специалистов «Красной команды» — «атакующие», «этичные» или «белые» хакеры^[14].

Сценарий действий «Красной команды» индивидуален и зависит от запросов заказчика и поставленных целей. Типичный процесс комплексной имитации атаки включает:

• тестирование на проникновение (в сеть, приложение, мобильный телефон и т. д.);
• социальную инженерию (попытка нарушения безопасности при помощи телефонных звонков, электронных рассылок и т. д.);
• физическое вторжение (взлом замков, обнаружение мертвых зон камер слежения и т. д.)^[13].

Синяя команда

Основная статья: Blue team^[англ.]

Группа специалистов по кибербезопасности, реагирующая на атаки «Красной команды», отслеживающая перемещения атакующих внутри инфраструктуры, расследующая инциденты, изучающая техники и тактики злоумышленников и нарабатывающая опыт предотвращения недопустимых событий. Как и «Красная команда», «Синяя команда» должна владеть знаниями о тактиках злоумышленников, техниках и процедурах, чтобы на их основании создавать стратегии реагирования.

Белая команда (White team)

Группа, наблюдающая за ходом киберучений, обеспечивающая соблюдение правил и оказывающая командам техническую поддержку. Белая команда также следит за тем, чтобы результаты киберучений корректно учитывались в соответствии с правилами подсчета очков. В эту группу могут входить авторы сценария киберучений, администраторы платформы киберполигона и специалисты с опытом организации киберучений.

Фиолетовая команда (Purple Team)

Команда специалистов по кибербезопасности, которая выполняет роль посредника между «Красной» и «Синей» командами. Эксперты данного профиля наблюдают за процессами атаки и защиты, комментируют и интерпретируют то, что происходит, и подсказывают решения обеим командам^[15]. Считается, что подключение к работе команды «Фиолетовых» позволяет проверить готовность Центра управления безопасностью (SOC) к отражению реальных атак и найти несовершенства в существующих правилах, процессах и процедурах реагирования^[15].

Жёлтая команда (YellowTeam)^[11]

Команда специалистов, отвечающих в организации за разработку ПО, настройку инфраструктуры ИКТ, развертывание приложений и т. д.

Зелёная команда (GreenTeam)^[11]

Группа специалистов, обеспечивающих связь между «Жёлтой» и «Синей» командами (так же, как «Фиолетовая команда» помогает взаимодействовать «Красной» и «Синей»). «Зеленая команда» отвечает за предоставление реалистичного сетевого трафика, журналов приложений и т. д.

Оранжевая команда (OrangeTeam)^[11]

Группа специалистов, способствующих общению между «Красной» и «Жёлтой» командами.

Инфраструктура

Киберучения могут различаться по инфраструктуре, используемой для их проведения:

• учения на реальной инфраструктуре компании (в этом случае риски чаще всего реализуются условно, чтобы не нанести серьёзного ущерба компании);
• учения на киберполигонах — виртуальных тренировочных площадках, представляющих собой цифровые копии информационных систем организаций/отраслей/государств.

Состояние киберучений в Российской Федерации

В 2006 году на базе Уральского государственного университета прошли соревнования UralCTF^[16], с которых официально начинается история российских киберучений. В 2009 году тот же организатор провёл первые международные студенческие CTF-соревнования в России RuCTFE. В них участвовало 43 команды со всего мира. Соревнования проходили в режиме онлайн на протяжении 10 часов^[17].

В 2019 году в России был запущен Национальный киберполигон^[18][19], крупнейший проект по информационной безопасности, который до 2022 года реализовывался в рамках национальной программы «Цифровая экономика». Платформу для тренировки специалистов по кибербезопасности, проведения киберучений и обучения специалистов по ИБ разработала компания «Ростелеком» с привлечением экспертизы сотрудников дочерней ГК «Солар». С 2022 года ГК «Солар» развивает технологическую платформу киберполигона вне нацпроекта «Цифровая экономика».

Киберполигон моделирует работу предприятий ключевых отраслей российской экономики. Технологической основой проекта стала платформа Solar CyberMir, которая включает готовые типовые IT-инфраструктуры для семи сегментов экономики: корпоративный офис, финансовый сектор, генерация и передача электроэнергии, добыча и транспортировка нефти и газа, телеком-инфраструктура.

Первые киберучения на Национальном киберполигоне коснулись энергетической сферы России, межотраслевого и межвузовского взаимодействия, а также процедур по предупреждению чрезвычайных ситуаций в результате хакерских атак. Помимо учений, на киберполигоне проводятся соревнования по кибербезопасности регионального, национального и международного масштабов.

Так, в 2022 году первый международный турнир по информационной безопасности состоялся на Петербургском международном экономическом форуме при поддержке Минцифры России^[20]. В соревнованиях приняли участие 9 команд из России, Казахстана и Белоруссии.

В 2023 году второй Международный чемпионат^[21] также прошел на ПМЭФ с участием 40 команд из 20 стран мира: России, Армении, Бангладеш, Беларуси, Бразилии, Венесуэлы, Вьетнама, Индонезии, Иран, Кабоджи, Лаоса, Мьянмы, Никарагуа, Пакистана, Сирии, Танзании, Туркменистана, Уганды, Узбекистана и Эфиопии. Благодаря функциональным возможностям платформы во время отборочного этапа в соревновании смогли поучаствовать более 200 человек одновременно.

В мае 2024 году третий Международный киберчемпионат по информационной безопасности состоялся^[22] в рамках конференции ЦИПР в Нижнем Новгороде. Организаторы собрали 180 заявок, квалификацию прошли 40 команд из 21 страны мира.

Технологическая платформа киберполигона также стала основой для организации Кибербитвы в формате Red vs. Blue на ежегодном SOC Forum, который проходит при поддержке ФСБ России и ФСТЭК России.

Standoff

Международные киберучения Standoff проводятся российской компанией Positive Technologies с 2016 года. Ключевым отличием Standoff стала реалистичность игрового процесса: виртуальная страна, за ресурсы которой борются команды, представляет собой визуализацию цифровой реальности современной России^[23][24].

Соревнования проходят на киберполигоне Standoff 365, который является самым крупным в России^[25]. За всю историю в Standoff приняли участие более 1000 исследователей безопасности^[26]. В 2020 году мероприятие вошло в Книгу рекордов России как самые масштабные открытые киберучения^[27].

См. также

• Кибероружие
• Информационная война
• Кибершпионаж
• Компьютерный терроризм
• Кибервойна
• Red Hacker Alliance
• Каталог ANT (АНБ)