От хакерских конкурсов к киберучениям

От хакерских конкурсов к киберучениям
Кого мы можем называть специалистом-практиком по информационной безопасности? Выпускника ВУЗа с большими, но теоретическими знаниями? Человека, прошедшего курсы повышения квалификации в АИС или УЦ "Информзащита"? Или человека, имеющего реальный практический опыт защиты информации в госоргане? Наверное ни того, ни другого, ни третьего. Нужна не просто комбинация теоретических и практических знаний, но и их регулярное подтверждение. Вот о нем мы и поговорим.

В романе "Нейромант" Гибсона и "Лабиринте отражений" Лукьяненко есть интересная идея о создании полностью автоматической системы защиты, которая только усиливает свой потенциал  при нападении на нее. За счет искусственного интеллекта и нейронных сетей защита сама анализирует методы вторжения и подстраивается под них, автоматически выстраивая линию обороны. Если представить, что и система нападения тоже могла бы быть полностью автоматический и действующей без участия человека, то можно было бы получить очень интересную самообучающуюся систему, а точнее две, которая бы выбирала только выигрышные стратегии для атак и их нейтрализации. Но это фантастика, до которой нам еще далеко...

В реальности же мы имеем людей, которым помогают какие-то инструменты - для атак и для их отражения. Без человека эти инструменты пока не очень эффективны; хотя и облегчают решение некоторых задач. Функции самообучаемых систем атак и нападения выполняют люди, которым необходимо постоянно повышать свой уровень, не только получая новые знания, но и тестируя их на практике. В реальной жизни такой опыт дается слишком дорого и он слишком ценен, чтобы ждать возможности проверить свой багаж знаний и "ловкость рук". Поэтому и появляется красивая идея соревнований CTF (Capture The Flag), которые довольно распространены во всем мире, включая и Россию.

RuCTF, VolgaCTF, Defcon CTF, UralCTF, rfCTF, NeoQuest, PHD CTF и т.д. Считаясь молодежными, а иногда и студенческими мероприятиями, на них как раз и осуществляется проверка сил защитников и нападающих. К сожалению, данные мероприятия пока проводятся в России на добровольных началах без существенной поддержки со стороны государства. Конкурсы CTF не поддерживаются ни Рособразованием (не уверен, что там вообще знают про такую форму практических занятий), ни УМО по ИБ, ни ФСТЭК, ни ФСБ. Хотя нет, ЦИБ ФСБ на последнем PHD как раз заявил о поддержке идеи CTF, но пока только словесной. Работа в ФСБ по направлению информационной безопасности пока прельщает немногих победителей CTF. Помимо преимуществ работы в этой структуре, есть и ограничения, которые отрезвляют многих. А вот отсутствие хоть какой-то официальной реакции со стороны УМО по ИБ странно - именно это учебно-методическое объединение отвечает за развитие направления ИБ в России; именно через них проходят все ФГОСы по нашей тематике.

Но вернемся к идее проверке сил атакующих и нападающих. Врядли можно себе сейчас представить, что специалисты коммерческих служб ИБ ломанутся "играть" в эти игры. Кто-то стесняется, у кого-то нет опыта, у кого-то тупо нет времени. Но если не CTF, то что, как и где? И вот тут нам на помощь приходит европейский, американский и австралийский опыт. У них уже давно проводятся киберучения (cyber exercise). С 2002-го по 2012-й годы в мире было проведено 85 киберучений, в которых участвовало 84 государства. 71% всех учений прошли в период с 2010-го по 2012-й годы. Практически половина всех учений длится один день (как и большинство CTF); 32% длятся до 3-х дней, еще 15% - от 4 до 5 дней, и еще 4% - больше 5 дней.

Идея правильная, но врядли ее можно организовать в общегосударственном масштабе для всех без исключения предприятий. Поэтому в Европе, Австралии, США такие учения проводятся для критически важных объектов, что закономерно. Успешная атака на критическую информационную инфраструктуру может обойтись очень дорого, как для экономики страны, так и для жизни и здоровья ее граждан. Правда, наш 8-й Центр ФСБ пока не видит необходимости в такой инициативе. По крайней мере это предложение в законопроект по безопасности критических информационных инфраструктур было отклонено как неотносящееся к предмету законодательного регулирования (интересно, а к чему оно относится).

Понятно, что восьмерке врядли хочется брать на себя эту задачу (опыта-то нет). Но может все-таки в финальный текст закона эта идея попадет, как здравая и полезная в деле защиты наших критически важных объектов от случайных или направленных воздействий? А что касается отсутствия опыта... Начинать-то с чего-то надо. В качестве лучшей практики могу посоветовать посмотреть на европейские рекомендации ENISA, которые разработаны на основе проведения регулярных европейский киберучений Cyber Europe и трансатлантических киберучений Cyber Atlantic.
SCADA кибербезопасность
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь