Создание киберполигона поможет существенно сократить время и затраты на планирование и подготовку киберучений.
Киберполигон – платформа для проведения тренировок по информационной безопасности разного формата. Отличие киберполигона «Ростелекома» от привычной виртуальной лаборатории состоит в том, что он предоставляет эмуляцию бизнес-процессов и информационной инфраструктуры типовых организаций различных отраслей (кредитно-финансового сектора, промышленности, энергетики, транспорта, связи). Участникам киберучений предоставляются технологии и инструменты для получения и отработки практических навыков по защите от кибератак.
Чем крупнее и сложнее виртуальная инфраструктура, тем больше вариантов проведения тренировок (обучений, учений режима «авария», образовательных мероприятий) и тем ближе к реальности и полезнее опыт участия.
За рубежом тематика киберполигонов давно вышла на государственный уровень.
Инициатива создания большого киберполигона с виртуальными инфраструктурами разных отраслей, значительная часть которых является государственными, наиболее логична от государственного заказчика (что подтверждают мировые практики: киберполигоны строятся местными homeland security).
Еще один важный аспект – импульсное влияние корректности работы одной отрасли на другую, распределение последствий атаки по цепочке вертикально и горизонтально интегрированных производственных систем. Как нарушение в работе одного из предприятий цепочки повлияет на стабильность остальных отраслей? Существует ли вероятность возникновения каскадов аварий при атаке на отдельные структурные элементы? Зарубежные практики отрабатывают эти аспекты в первую очередь. Например, задача реального учения в Таллинском Центре НАТО по сотрудничеству в сфере киберобороны с участием нескольких стран звучала следующим образом: «Как авария на очистных сооружениях повлияет на курс валюты?» В итоге выяснили, что повлияет: через сельское хозяйство, ритейл и прочие рыночные механизмы. Изучить и протестировать, как совокупность систем будет работать в нештатной ситуации – критически важно для проверки и повышения уровня защищенности государства.
Коммерческие компании также сталкиваются с необходимостью постоянного улучшения практических навыков по выявлению и противодействию кибератакам – отработке штатных и нештатных ситуаций в обстановке, максимально приближенной к «боевой». Очевидно, что теория, чтение учебников, просмотр презентаций, общение с коллегами не дают специалисту, особенно начинающему, владения этими навыками. Приобретение необходимого опыта в ходе профессиональной деятельности – слишком долго и всегда ограничено условиями каждого отдельного места работы.
В крупных корпоративных департаментах по информационной безопасности присутствует потребность не только в обучении, но и в контроле динамики повышения квалификации сотрудников:
от стартового обучения начинающих сотрудников информационной безопасности,
до периодических поддерживающих тренировок,
и затем до масштабных учений всей команды ИБ.
Создать технологическую среду и поддерживать её длительное время в актуальном состоянии – наукоёмкая и ресурсозатратная задача. При этом необходимо учитывать специфику угроз информационной безопасности в конкретной отрасли. Очевидно, что создавать собственный киберполигон – убыточная история даже для крупной корпорации.
Киберполигон – это своего рода «виртуальная страна». Мы создаем типовые инфраструктуры отраслевых предприятий и связываем их друг с другом. При этом используется отраслевое программное обеспечение и оборудование. С их помощью эмулируются процессы реальной информационной инфраструктуры типовых предприятий и групп предприятий, объединенных единой специфической информационной и технологической средой.
Виртуальная система, по сути, – большая сеть из множества сегментов, включающих каналы связи, сетевые устройства, сервера, рабочие компьютеры, технологическое оборудование и любые иные специфические устройства, подключенные к этой сети. Она постоянно активна на уровне ПО и элементов инфраструктуры. Эмуляторы рабочих компьютеров действуют так, будто за ними сидят реальные пользователи, при этом существует опция включить операторов, совершающих ошибки.
В зависимости от потребностей и задач тренировки мы можем использовать разный набор СЗИ, находящихся в разной степени завершенности, работоспособности и даже поврежденности. Также повреждена или неправильно сконфигурирована может быть любая часть информационной системы эмулируемого предприятия: программное обеспечение, оборудование, сеть.
Последняя (но не по значению) составляющая часть национального киберполигона – цепочки сценариев нештатных ситуаций. Киберполигон предлагает как типовые комбинированные цепочки атак, так и кастомизированные или модифицированные под нужды конкретного мероприятия. Важно отметить, что при автоматизации компьютерных атак мы обращали внимание преимущественно на наиболее распространенные, деструктивные и сложные. Для упрощения конфигурации мероприятия блоки атак унифицированы: можно создать свою собственную цепочку атак или модифицировать текущую (заменой одного из блоков).
Отметим, что сценарии атак будут нужны не всегда – часть учений может проводиться с участием не только защитников, но и нападающих, и тогда не нужны никакие сценарии. Противостояние будет настоящим и непредсказуемым.
Проект строится не на пустом месте – было бы несправедливым говорить о его уникальности и первородности. В рамках изучения уже накопленного в мире опыта и выработанных подходов к созданию киберполигонов и исследовательских центров, нами были рассмотрены уже достигнутые результаты ряда научно-исследовательских лабораторий:
Ames Laboratory
Argonne national Laboratory
Brookhaven National Laboratory
Fermi National Accelerator Laboratory
Lawrence Berkley National Laboratory
Oak Ridge National Laboratory
Pacific Northwest National Laboratory
Princeton Plasma Physics Laboratory
SLAC National Accelerator Laboratory
Thomas Jefferson National Accelerator Facility
Idaho National Laboratory
National Energy Technology Laboratory
National Renewable Energy Laboratory
Savannah River National Laboratory
Рассматривались специализированные программно-технические комплексы, по сути являющиеся киберполигонами с той или иной спецификой:
Ampire
Cyberbit
HNS CyberRange
PaloAlto CyberRange
US CyberRange – Virginia Tech
Ixia CyberRange
Advanced CyberRange Environment
Cloud Range
CyberWiser
Circadence CyberRanges (CyRaaS)
Лучшие практики разработчиков, уже прошедших свой путь создания киберполигонов, учтены при реализации нашего проекта.
Анализ целей и задач рынка, основного заказчика и изучение лучших практик привели к выводу о том, что наиболее целесообразным является построение киберполигона с многослойной архитектурой. Она добавляет универсальности использования. Если слои инфраструктуры связаны сервисами, мы можем заменить один слой системы на другой (одну отрасль на другую), не затронув функциональность системы. Пример на рисунке ниже:
На вершине айсберга находится Web-портал, описывающий сервисы платформы.
Платформа виртуализации располагается на мощностях ЦОДа
Созданная нами инфраструктура призвана обеспечить функционирование отдельных сервисов в рамках сервисной модели киберполигона (см. рисунок).
Прежде чем выбрать уровень планируемого обучения важно оценить квалификацию участников: на основе самооценки, тестов, данных об уже пройденном обучении. Исходя из уровня участников, киберполигон может предложить вариативный набор: образовательных курсов, практических курсов (с тренером), киберучений (без тренера), соревнований по различным навыкам и компетенциям.
Основной подход любого вида тренировок – практико-ориентированный. Оценка действий сотрудников по результату практики основана на:
отсутствии нарушений в бизнес-процессах предприятия;
кооперации с другими подразделениями (владение регламентами);
компетентности противостояния наиболее распространенным киберугрозам на практике.
Как правило, киберполигоны не используются лишь с одной целью, ибо это нерентабельно. Киберполигон – это всегда, в том числе, исследовательская лаборатория. Её цели заключаются в проведении научно-исследовательских работ, исследовании новых перспективных технологий на защищенность, проверке соответствия существующих решений сертификационным требованиям. На киберполигоне это легко осуществить с минимальными затратами на создание исследовательской среды.
Также киберполигон часто используют как площадку для проведения конкурсных процедур. Там, где нужна отраслевая инфраструктура, но риски бизнеса слишком велики, чтобы пилотировать новые продукты в реальной производственной среде, могут быть использованы ресурсы киберполигона. Он позволяет осуществить как функциональное, нагрузочное тестирование, так и анализ на защищенность проверяемого программного обеспечения.
Еще один важный сервис платформы – охота за уязвимостями (bug bounty), которая проводится в интересах и по запросу вендоров программного обеспечения.
Создание киберполигона поможет существенно сократить время и затраты на планирование и подготовку киберучений и обучающих мероприятий за счет готовой инфраструктуры, базовых сценариев и единой методологии проведения учений. Кроме того, Киберполигон обеспечивает достаточную гибкость и возможность переконфигурации модели под конкретный объект или группу объектов, а также возможность моделирования различных технологических процессов. Отметим также ряд основных возможностей Киберполигона:
Моделирование современных, актуальных кибератак. Отработка регламентов расследования, реагирования и практических способов защиты;
Обучение поиску как базовых, так и нетривиальных признаков атак;
Развитие навыков самостоятельной подготовки к кибератаке: выстраивание процессов анализа и защиты, самостоятельное написание регламентов;
Тренировки на реальном оборудовании, включенном в виртуальный Киберполигон (киберфизические последствия в реальном времени, например, POS-терминал начинает «выплевывать деньги»);
Возможность проводить киберучения на отраслевых площадках.
Снижение рисков за счет отработки регламентов по реагированию на внештатную ситуацию на внешней площадке;
Доступность инфраструктуры 365 дней в году.
Анна Олейникова, ведущий аналитик «Ростелеком-Солар»
Живой, мертвый или в суперпозиции? Узнайте в нашем канале