Киберучения: полезная информация для защитников критической информационной инфраструктуры

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

В этой краткой заметке разберем, что такое киберучения, как они проводятся и какую пользу можно извлечь, анализируя отчеты об уже проведенных мероприятиях.

Под киберучениями мы будем понимать запланированные мероприятия, в ходе которых имитируется проведение кибератак для вырабатывания возможностей по их предотвращению, реагированию, а также восстановлению. В киберучениях принимают участия следующие команды: нападающие (Red Team), защищающиеся (Blue Team), администраторы (Green Team), организаторы (White Team), также могут быть еще исследователи (Yellow Team).

Киберучения бывают корпоративные, отраслевые, межотраслевые, региональные и международные.

Специалисты любят выделять следующие форматы киберучений:

  • Настольные учения, теоретические учения (Table Top) – моделирование сценария кибератаки в формате рассказа, в рамках которого участники анализируют и обсуждают, но не выполняют на практике принятые процедуры.

  • Практические учения (Full live) – проведение учебных кибератак, участники отрабатывают практические действия по реагированию на инцидент.

  • Гибридные (Hybrid) – комбинация элементов настольных и практических учений.

Иногда к киберучениям относят и CTF-соревнования, проводимые среди учащихся школ и вузов.

Максимальный интерес представляют масштабные международные мероприятия, детали проведения которых хорошо освещены в интернете и по которым публикуется так называемый After-Action Report. В целом о том, какие киберучения проводятся в мире и насколько информация о них открыта, можно почерпнуть из публикации национального института кибербезопасности Испании - Cyber exercises taxonomy. Примечательный момент: данный отчет почему-то недоступен для российских IP-адресов.

Одними из самых масштабных киберучений, проводимых в Европе, являются ежегодные киберучения LockedShields, организатором которых выступает центр НАТО по сотрудничеству в сфере киберобороны (NATO Cooperative Cyber Defence Centre of Excellence). До 2014 года центр публиковал развернутые отчеты о проведенных киберучениях на своем сайте и наиболее интересным на наш взгляд является 122-х страничный отчет за 2013 год.

В 2013-м году игровая инфраструктура данных киберучений имитировала обычную корпоративную сеть. Каждой Blue Team была выделена сеть из 34 машин, включающая: маршрутизатор, межсетевые экраны, рабочие станции под управлением Linux и Windows, контроллеры доменов, файловые серверы, почтовые серверы, DNS-серверы, web-серверы и серверы СУБД.

Для Red Team данная инфраструктура была «белым ящиком», и в ней были предустановлены 2 бэкдора, которые начинали активные действия по заданному расписанию. Также в каждой защищаемой инфраструктуре был пользователь с ролью blonde (представитель White Team), который открывал все вложения и переходил по всем ссылкам в полученных письмах. Основная масса уязвимостей была в прикладном офисном ПО.

Перед нападающими стояли типовые хакерские задачи:

  • провести дефэйс страницы;

  • организовать отказ в обслуживании;

  • получить административный доступ;

  • внедрить вредоносный код;

  • получить доступ к определенным письмам электронной почты получить определенный отчет;

  • заменить файл с видеозаписью.

Киберучения Locked Shields наращивают масштабы, и в последние годы игровая инфраструктура стала в разы больше, а типовой сценарий учений уже предусматривает киберконфликт с выдуманной страной, в ходе которого осуществляются скоординированные кибератаки на такие цели, как национальный интернет-провайдер, центральный банк, военная база и т.п. Сегодня Locked Shields 2021 – это 5000 виртуальных хостов, 2000 участников, 30 стран-участниц, 22 команды Blue Team.

Довольно крупные международные киберучения проводятся и по другую сторону Атлантики, так в 2020-м году более 1000 участников собрали учения Cyber Storm 2020. After action report доступен и, помимо всего прочего, содержит интересное описание сценария, который лег в основу учений. В соответствии с ним две хакерские группировки, спонсируемые иностранными государствами, разрабатывают набор инструментов для эксплуатации уязвимостей в ключевых сервисах интернета – DNS, BGP и CA. Разработанный инструментарий передается злоумышленникам с различной мотивацией, которые, в свою очередь, используют его для проведения кибератак на объекты критической информационной инфраструктуры.

А что у нас?

Не так давно стали проводиться отраслевые киберучения  (банки, энергетика и др.). CTF-движение у нас хорошо развито, и подобные мероприятия проводятся довольно регулярно. Например, наша компания организует CTF-конкурс «Эшелонированная оборона», в котором в 2020-м году приняло участи более 100 команд.

Для отработки сценариев кибератак во всем мире активно применяется матрица MITRE ATT@CK, которая в структурированном виде представляет действия киберзлоумышленников и позволяет описать практически любую атаку. В России в начале года ФСТЭК России выпустил Методику оценки угроз безопасности информации, в приложении которой привел свое видение структуры действий злоумышленников. Эксперты нашей компании разработали и опубликовали маппинг перечня действий злоумышленников от ФСТЭК России на соответствующие действия в матрице MITRE ATT@CK.

Интересным трендом является использование в ходе отраслевых учений не просто сценария, включающего произвольные тактики и техники, а именно моделей реальных хакерских группировок, представляющих опасность для конкретной отрасли, например, APT Tonto и TA428 в случае учений на наукоемком производстве или Cobalt и Carbanak – в случае банковских учений. Для подготовки к проведению киберучений мы, для примера, сформировали прототип базы данных хакерских группировок, которые по данным из открытых источников атакуют цели именно на территории России: https://apt.etecs.ru/

В базу попадают кибергруппировки, которые, согласно отчетам по атрибуции, атакуют ресурсы на территории России.

Надеемся, что изучение данных материалов специалистами, отвечающими за безопасность объектов КИИ, будет полезно для повышения готовности к отражению кибератак.

Источник: https://habr.com/ru/company/npoechelon/blog/581752/


Интересные статьи

Интересные статьи

До 2020 года рабочие дни классического офисного сотрудника, проведенные на «удаленке» считались, скорее, выходными днями, чем рабочими. Это тот самый случай, когда все вроде работают, но,...
Всем привет! Не так давно на работе в рамках тестирования нового бизнес-процесса мне понадобилась возможность авторизации под разными пользователями. Переход в соответствующий р...
Однажды, в понедельник, мне пришла в голову мысль — "а покопаюсь ка я в новом ядре" (новым относительно, но об этом позже). Мысль не появилась на ровном месте, а предпосылками для нее стали: ...
«Битрикс» — кошмар на костылях. Эта популярная характеристика системы среди разработчиков и продвиженцев ныне утратила свою актуальность.
Если вы последние лет десять следите за обновлениями «коробочной версии» Битрикса (не 24), то давно уже заметили, что обновляется только модуль магазина и его окружение. Все остальные модули как ...