Анастасия Гришина
Алексей ХалинО киберучениях
Киберучения — это мероприятия по моделированию атак на организацию, в рамках которых проверяются актуальность и работоспособность процедур выявления атак, а также эффективность имеющихся планов, схем реагирования и мер по ликвидации последствий. Основная цель киберучений — оценка эффективности центра противодействия киберугрозам (ЦПК), работа которого направлена на своевременное предотвращение киберинцидентов, которые могут привести к недопустимым для бизнеса событиям.
ЦПК — это структура, включающая набор программно-аппаратных средств, персонал, а также утвержденные процессы и процедуры, которые в совокупности позволяют не только своевременно обнаружить киберинциденты до нанесения неприемлемого ущерба, но и ликвидировать их последствия.
Киберучения проводятся в формате red team, который подразумевает комплексную оценку ЦПК путем имитации действий реального злоумышленника. Цель такого злоумышленника — реализация одного или нескольких недопустимых для заказчика киберучений событий. Оценка ЦПК осуществляется относительно согласованных с заказчиком киберучений недопустимых событий и в соответствии с установленными целями. В учениях принимают участие четыре стороны: заказчик киберучений, специалисты по проведению тестирования на проникновение и имитации целевых атак (команда нападения), специалисты подразделений информационных технологий и информационной безопасности (команда защиты), аналитики, которые подводят итоги киберучений (команда арбитров).
Если в вашей организации имеются специалисты, способные проводить имитацию кибератак, используя инструменты, тактики, техники и процедуры известных APT-группировок, эксперты, способные выявлять такие атаки, а также аналитики, которые способны оценить эффективность работы обеих команд и ЦПК, вы можете провести киберучения самостоятельно, без привлечения сторонних компаний. При этом необходимо понимать, что штатные сотрудники знают ваш ЦПК, IT-инфраструктуру и бизнес-процессы, протекающие в компании, поэтому такая оценка не может быть максимально объективной. Для получения объективной оценки реализуемости недопустимых событий от лица внешнего нарушителя, не имеющего информации о ваших системах, рекомендуем в качестве команды нападения привлекать сторонние организациисторонние организациисторонние организации. Кроме того, для получения объективной оценки эффективности работы ЦПК и команд участников рекомендуется также привлекать сторонних экспертов в качестве команды арбитров.
Основная цель команды нападения — реализовать утвержденный перед киберучениями перечень недопустимых событий, проводя кибератаки. В свою очередь, команда защиты, используя всю функциональность ЦПК, должна своевременно обнаружить действия команды нападения и подготовить рекомендации для предотвращения потенциальных инцидентов кибербезопасности, которые могут привести к недопустимым событиям, и реагирования на них. Итоги киберучений подводит команда арбитров. Чтобы по результатам киберучений было возможно корректно рассчитать метрики, направленные на повышение эффективности ЦПК, деятельность команд должна регламентироваться техническими заданиями, в которых будут описаны все правила и условия проведения киберучений. Примеры таких технических заданий доступны для скачивания в конце статьи.
Подготовка к проведению киберучений
Перед началом работ заказчику необходимо заранее согласовать дату начала киберучений с участниками. Таким образом, команду защиты осведомляют о дате начала, что позволяет оценить эффективность ЦПК в режиме максимальной готовности к предотвращению атак.
Все действия в рамках киберучений команда нападения совершает с принадлежащих ей внешних IP-адресов, полный список которых должен быть представлен перед началом заказчику киберучений и команде арбитров. Команда защиты будет выявлять любые атаки на инфраструктуру и затем в установленном порядке обрабатывать события информационной безопасности. Имея список IP-адресов команды нападения, возможно своевременно отличать атаки команды нападения от действий реальных нарушителей, которые могут произойти в любой момент, в том числе и в процессе киберучений.
Формат работы команды нападения
Команда нападения работает по модели внешнего нарушителя и в большинстве случаев для проникновения в инфраструктуру:
- проводит атаки на ресурсы сетевого периметра (ресурсы, доступные из интернета);
- проводит атаки на сотрудников (методы социальной инженерии и атаки типа «дорожное яблоко»);
- проводит атаки на корпоративные беспроводные сети;
- пытается подключиться к Ethernet-розеткам, расположенным в помещениях со свободным доступом на территории заказчика.
Важно отметить, что реальные злоумышленники не ограничены в способах атак на организацию. Поэтому для получения всесторонней оценки реального уровня защищенности компании от кибератак и определения максимального числа возможных путей проникновения в ЛВС рекомендуется не ограничивать команду нападения в ее действиях.
Формат работы команды защиты
Команда защиты работает в режиме мониторинга, осуществляя только обнаружение действий команды нападения без активного противодействия. С помощью функциональных возможностей ЦПК и установленных в нем правил и процедур команда защиты должна обнаружить как можно больше действий команды нападения. Это позволит заказчику киберучений на практике убедиться, что после учений с помощью ЦПК возможно обнаружить реального злоумышленника на каждом из этапов атаки и идентифицировать все тактики, техники и инструменты нарушителей.
Основные этапы киберучений со стороны команды нападения
Активная стадия киберучений состоит из четырех этапов:
- сбор исходной информации;
- проникновение в инфраструктуру;
- закрепление в инфраструктуре и развитие кибератаки во внутренней сети;
- выполнение критериев реализации недопустимых событий.
На каждом из них команда нападения может использовать различные инструменты и средства. Указанные шаги должны выполняться последовательно. Однако если для реализации одного или нескольких недопустимых событий не требуются проникновение и закрепление в инфраструктуре, то для таких событий после сбора информации можно сразу перейти к выполнению критериев их реализации.
Основные этапы киберучений со стороны команды защиты
Со стороны команды защиты киберучения проводятся в четыре основных этапа:
- активная стадия с заведением карточек киберинцидентов;
- пострасследование:
- ретроспективный анализ защищаемой информационной системы, включая расследование инцидентов, обнаруженных в последние дни киберучений;
- объединение обнаруженных инцидентов в векторы атак;
- разработка отчетной документации;
- верификация журнала действий команды нападения и удаление артефактов из ИТ-инфраструктуры.
Каждый шаг выполняется последовательно друг за другом.
Основные этапы киберучений со стороны команды арбитров
Со стороны команды арбитров киберучения проводятся в четыре основных этапа:
- анализ документации команды нападения;
- анализ документации команды защиты;
- анализ информации от заказчика киберучений;
- разработка итогового отчета по результатам киберучений.
Первые три шага могут выполняться параллельно. Четвертый является заключительным для учений в целом.
Общая схема киберучений
Общая схема киберучений для всех участвующих сторон представлена на рисунке ниже. В целях экономии времени некоторые работы разных команд могут проводиться параллельно, но не выходя за рамки указанного на рисунке деления. Минимальное время, необходимое для проведения киберучений, — три месяца. Уменьшение этого срока негативно скажется на результатах.
Рисунок 1. Схема киберучений
Результаты киберучений
По результатам киберучений команды нападения и защиты разрабатывают отчеты, которые включают в себя описание выполненных работ, а также полученные результаты. Например, в отчете команды нападения должна содержаться информация о реализованных недопустимых событиях и выявленных векторах атак, а в отчете команды защиты должна содержаться информация о хронологии действий команды нападения. После разработки этих отчетов команда арбитров разрабатывает итоговый отчет, который содержит в себе оценки результатов деятельности команд защиты и нападения, оценку эффективности работы ЦПК и аналитическое заключение о возможности отражения атаки в случае активного противодействия со стороны команды защиты.
Полученные результаты могут быть использованы для актуализации перечня недопустимых событий, практического подтверждения необходимости трансформации существующего ЦПК или для улучшения его отдельных параметров ради достижения целевых метрик эффективности и результативности.
Определение готовности к проведению киберучений
Подготовка к проведению киберучений серьезно отличается от подготовки к верификации недопустимых событий. Это связано с тем, что требования к инфраструктуре для проведения киберучений значительно выше, чем к инфраструктуре для проведения верификации недопустимых событий. Например, если основное условие для проведения верификации — это наличие утвержденных руководством перечней недопустимых событий и критериев их реализации, то для проведения киберучений необходимо провести полную кибертрансформацию всей IT-инфраструктуры начиная от бизнес-процессов и заканчивая реорганизацией компонентов инфраструктуры.
Для проведения киберучений необходимо выполнить следующие условия:
- определить недопустимые события и критерии их реализации;
- провести кибертрансформацию, направленную на выполнение принципов результативной кибербезопасности;
- создать полноценный центр противодействия киберугрозам;
- определить границы проведения работ;
- подготовить технические задания для участников киберучений.
В процессе проведения киберучений очень важно, чтобы участники киберучений записывали свои действия в едином формате. Это необходимо для того, чтобы по результатам киберучений было возможно дать оценку эффективности центра противодействия киберугрозам, а также рекомендации по его модернизации (совершенствованию). Поэтому необходимо заранее подготовить технические задания на проведения работ для участников киберучений.
Если все указанные условия выполнены, значит, организация готова к проведению киберучений и можно переходить к процессу выбора исполнителей работ.