Методология

Способы проверки недопустимых событий на практике

Ядро методологии
akhalin.jpgАлексей Халин

После того как вы определили недопустимые для вашей организации события, необходимо проверить их реализуемость. Существует множество методов проверки, но наиболее эффективными являются те, которые имитируют реальные кибератаки на инфраструктуру. Ключевыми методами проверки реализуемости недопустимых событий путем имитации реальных кибератак являются:

  • верификация недопустимых событий;
  • проведение киберучений на собственной IT-инфраструктуре;
  • проведение киберучений на киберполигоне;
  • запуск программы APT bug bounty.

Каждый из представленных методов имеет свои особенности и может применяться на разных этапах развития информационной безопасности в компании. Для проверки реализуемости недопустимых событий вовсе не обязательно иметь эффективную систему обеспечения ИБ с большим штатом квалифицированных специалистов по тестированию на проникновение. Можно воспользоваться услугами организаций, занимающихся обеспечением информационной безопасности, которые могут проводить проверки реализуемости недопустимых событий даже на критически значимых системах.

Несмотря на то, что указанные методы проверки могут проводиться самостоятельно при наличии средств и специалистов, имеющих необходимую квалификацию, рекомендуется для более объективной оценки при проверке реализуемости недопустимых событий привлекать сторонние организации.

Выбирать конкретный метод проверки нужно исходя из возможностей и потребностей вашей компании, так как для каждой из представленных работ существуют дополнительные цели проведения: например, обучить сотрудников службы безопасности или оценить эффективность системы мониторинга и защиты информации.

Далее указанные методы будут рассмотрены подробнее.

Верификация недопустимых событий

Верификация недопустимых событий — это специализированный вариант тестирования на проникновение, целью которого является оценка возможности реализации недопустимых событий. Главная задача верификации недопустимых событий — проверить возможность наступления утвержденных в организации недопустимых событий в результате компьютерных атак.

Этот метод проверки подойдет вам, если в компании ранее не проверяли возможность реализации недопустимых событий и руководство хочет познакомиться с концепцией результативной кибербезопасности и защиты от кибератак, направленных на реализацию недопустимых событий.

Минимальная рекомендуемая длительность тестирования составляет один месяц. Для начала необходимо определить перечень недопустимых событий и критериев их реализации.

По результатам работ проверяются полнота и актуальность перечня недопустимых событий и критериев их реализации. После завершения верификации организация получает представление о том, какие недопустимые события можно реализовать с помощью компьютерных атак, как это может повлиять на ее операционную деятельность, какие проблемы существуют в системе информационной безопасности и какие шаги необходимо предпринять для повышения общего уровня киберустойчивости.

Если необходимо верифицировать недопустимые события для критически значимых систем, часть тестирования может проводиться на тестовом стенде, моделирующем реальную инфраструктуру системы, или на продуктивной системе с использованием метода белого ящика, когда специалисты исполнителя будут иметь полную информацию об объекте оценки.

Верификация недопустимых событий

В каком случае лучше выбрать этот метод проверки:

  • если в организации ранее не проводилась проверка возможности реализации недопустимых событий и руководство хочет познакомиться с концепцией результативной кибербезопасности и защиты от кибератак, направленных на реализацию недопустимых событий.

Рекомендуемая длительность:

  • от одного месяца.

Периодичность:

  • разовое мероприятие.

Что нужно для начала работ:

  • перечень недопустимых событий и критериев их реализации;
  • утвержденные границы проведения работ;
  • разрешительное письмо на проведение работ.

Киберучения на собственной IT-инфраструктуре

Киберучения — мероприятия по моделированию атак на организацию, в рамках которых проверяются актуальность и работоспособность процедур выявления атак, а также эффективность имеющихся планов, схем реагирования и мер по ликвидации последствий. Киберучения на собственной инфраструктуре могут проводить те компании, которые имеют полноценную структуру для противодействия кибератакам (центр противодействия киберугрозам, ЦПК), состоящую из набора программно-аппаратных средств, персонала, утвержденных процессов и процедур, которые в совокупности позволяют своевременно обнаружить и ликвидировать последствия киберинцидентов. Таким образом, основная цель киберучений — это оценка эффективности ЦПК, работа которого направлена на своевременное предотвращение киберинцидентов, способных привести к недопустимым для бизнеса событиям.

Оценка эффективности ЦПК осуществляется относительно согласованных недопустимых событий и в соответствии с установленными целями. В учениях могут принимать участие до четырех сторон: заказчик работ (заказчик киберучений), специалисты по тестированию на проникновение (команда нападения), специалисты службы информационной безопасности (команда защиты) и аналитики (команда арбитров), которые подводят итоги киберучений, а также разрабатывают рекомендации по модернизации программно-аппаратных средств защиты информации, улучшению работы команды защиты и совершенствованию процессов и процедур в части информационной безопасности.

Этот метод проверки подойдет вам, если в вашей организации есть полноценный центр противодействия киберугрозам и нужно убедиться, что он способен предотвратить реализацию недопустимых событий.

Минимальная рекомендуемая длительность таких учений составляет два месяца. До начала процесса, помимо перечня недопустимых событий и критериев их реализации, должен быть согласован порядок документирования действий участников киберучений, так как это важно для определения метрик и оценки работы ЦПК.

Киберучения на собственной IT-инфраструктуре

В каком случае лучше выбрать этот метод проверки:

  • если в вашей организации есть полноценный центр противодействия киберугрозам и требуется убедиться, что он способен предотвратить реализацию недопустимых событий.

Рекомендуемая длительность:

  • от двух месяцев.

Периодичность:

  • повторяющееся мероприятие.

Что нужно для начала работ:

  • перечень недопустимых событий и критериев их реализации;
  • утвержденные границы проведения работ;
  • согласованный способ документирования результатов для правильного подсчета метрик оценки эффективности ЦПК;
  • разрешительное письмо на проведение работ.

Киберучения на киберполигоне

Киберполигон — программно-аппаратный комплекс, повторяющий типовые инфраструктуры предприятий различных отраслей экономики. Период доступности инфраструктуры киберполигонов может варьироваться: он может быть доступен несколько дней или круглогодично. Как правило, платформу для киберполигонов предоставляют организации, специализирующиеся на разработке инструментов и оказании услуг в сфере информационной безопасности.

На киберполигоне любая заинтересованная компания может разместить для тестирования копии своих информационных систем, в том числе критически значимых, что позволит определить или проверить критерии реализации недопустимых событий в таких системах, если проведение учений на реально действующих объектах невозможно или сопряжено со значительными рисками для операционной деятельности.

Сроки проведения ограничены только периодом доступности инфраструктуры киберполигона. Таким образом, длительность испытаний на киберполигоне может составлять от нескольких дней до нескольких месяцев.

Для участия в киберучениях на киберполигоне необходимо предоставить перечень недопустимых событий и критериев их реализации и тестовые виртуальные машины, на которых размещены информационные системы, при атаках на которые можно реализовать определенные в перечне недопустимые события.

По результатам киберучений на киберполигоне проверяется возможность реализации недопустимых событий для отдельных информационных систем. Для проверки полноты и актуальности всего перечня недопустимых событий и критериев их реализации такой метод не подходит.

Этот вариант проверки подойдет вам, если среди целевых систем есть такие, нарушение функционирования которых повлечет за собой огромный ущерб организации или государству.

Киберучения на киберполигоне

В каком случае лучше выбрать этот метод проверки:

  • если в вашей компании среди целевых систем есть системы, нарушение функционирования которых повлечет за собой огромный ущерб организации или государству.

Рекомендуемая длительность:

  • от нескольких дней.

Периодичность:

  • разовое мероприятие.

Что нужно для начала работ:

  • перечень недопустимых событий и критериев их реализации;
  • виртуальные машины с копиями тестируемых информационных систем.

Программа APT bug bounty

Программы bug bounty традиционно проводятся на специальной платформе. Любой желающий может поучаствовать в поиске недостатков и уязвимостей в программном обеспечении или в отдельных информационных системах. Вместе с тем такой формат может быть эффективно использован для поиска способов реализации недопустимых событий.

Для запуска программы bug bounty, помимо наличия перечня недопустимых событий и критериев их реализации, необходимо в публичном пространстве, используя доступные средства для связи (например, сайты или социальные сети компании) или специализированные bug bounty площадки, объявить вознаграждение за реализацию недопустимых событий в инфраструктуре при соблюдении некоторых ограничений на раскрытие информации. Таким образом обеспечивается привлечение широкого круга экспертов в области поиска уязвимостей и тестирования на проникновение, что позволяет оценить устойчивость систем и процессов организации в условиях, приближенных к реальным.

Наличие зрелого ЦПК особенно важно при выборе этого формата проверки реализуемости недопустимых событий, потому что специфика поиска подразумевает большое количество компьютерных атак, возникающих в случайные периоды, и ложных результатов, которые необходимо верифицировать. Кроме того, необходимо задействовать специалистов службы информационной безопасности для разбора и анализа отчетов, присланных специалистами по тестированию на проникновение. По результатам проверки отчетов необходимо определить, какие недопустимые события удалось реализовать и какие меры необходимо предпринять для закрытия векторов атак, которые привели к наступлению негативных последствий. Согласно правилам программы денежные средства (вознаграждение) выплачиваются только за успешные атаки, которые привели к реализации недопустимых событий, а не за сам факт выполнения работ вне зависимости от результата. Длительность программы bug bounty может быть ограничена несколькими неделями или осуществляться на постоянной основе.

Таким образом, этот вариант подойдет компаниям, у которых функционирует полноценный центр противодействия киберугрозам и есть эффективная система информационной безопасности.

Программа APT bug bounty

В каком случае лучше выбрать этот метод проверки:

  • если в вашей организации есть полноценный центр противодействия киберугрозам и эффективная система информационной безопасности.

Рекомендуемая длительность:

  • от нескольких недель.

Периодичность:

  • повторяющееся мероприятие.

Что нужно для начала работ:

  • перечень недопустимых событий и критериев их реализации;
  • утвержденные границы проведения работ.