В этой краткой заметке разберем, что такое киберучения, как они проводятся и какую пользу можно извлечь, анализируя отчеты об уже проведенных мероприятиях.
Под киберучениями мы будем понимать запланированные мероприятия, в ходе которых имитируется проведение кибератак для вырабатывания возможностей по их предотвращению, реагированию, а также восстановлению. В киберучениях принимают участия следующие команды: нападающие (Red Team), защищающиеся (Blue Team), администраторы (Green Team), организаторы (White Team), также могут быть еще исследователи (Yellow Team).
Киберучения бывают корпоративные, отраслевые, межотраслевые, региональные и международные.
Специалисты любят выделять следующие форматы киберучений:
Настольные учения, теоретические учения (Table Top) – моделирование сценария кибератаки в формате рассказа, в рамках которого участники анализируют и обсуждают, но не выполняют на практике принятые процедуры.
Практические учения (Full live) – проведение учебных кибератак, участники отрабатывают практические действия по реагированию на инцидент.
Гибридные (Hybrid) – комбинация элементов настольных и практических учений.
Иногда к киберучениям относят и CTF-соревнования, проводимые среди учащихся школ и вузов.
Максимальный интерес представляют масштабные международные мероприятия, детали проведения которых хорошо освещены в интернете и по которым публикуется так называемый After-Action Report. В целом о том, какие киберучения проводятся в мире и насколько информация о них открыта, можно почерпнуть из публикации национального института кибербезопасности Испании - Cyber exercises taxonomy. Примечательный момент: данный отчет почему-то недоступен для российских IP-адресов.
Одними из самых масштабных киберучений, проводимых в Европе, являются ежегодные киберучения LockedShields, организатором которых выступает центр НАТО по сотрудничеству в сфере киберобороны (NATO Cooperative Cyber Defence Centre of Excellence). До 2014 года центр публиковал развернутые отчеты о проведенных киберучениях на своем сайте и наиболее интересным на наш взгляд является 122-х страничный отчет за 2013 год.
В 2013-м году игровая инфраструктура данных киберучений имитировала обычную корпоративную сеть. Каждой Blue Team была выделена сеть из 34 машин, включающая: маршрутизатор, межсетевые экраны, рабочие станции под управлением Linux и Windows, контроллеры доменов, файловые серверы, почтовые серверы, DNS-серверы, web-серверы и серверы СУБД.
Для Red Team данная инфраструктура была «белым ящиком», и в ней были предустановлены 2 бэкдора, которые начинали активные действия по заданному расписанию. Также в каждой защищаемой инфраструктуре был пользователь с ролью blonde (представитель White Team), который открывал все вложения и переходил по всем ссылкам в полученных письмах. Основная масса уязвимостей была в прикладном офисном ПО.
Перед нападающими стояли типовые хакерские задачи:
провести дефэйс страницы;
организовать отказ в обслуживании;
получить административный доступ;
внедрить вредоносный код;
получить доступ к определенным письмам электронной почты получить определенный отчет;
заменить файл с видеозаписью.
Киберучения Locked Shields наращивают масштабы, и в последние годы игровая инфраструктура стала в разы больше, а типовой сценарий учений уже предусматривает киберконфликт с выдуманной страной, в ходе которого осуществляются скоординированные кибератаки на такие цели, как национальный интернет-провайдер, центральный банк, военная база и т.п. Сегодня Locked Shields 2021 – это 5000 виртуальных хостов, 2000 участников, 30 стран-участниц, 22 команды Blue Team.
Довольно крупные международные киберучения проводятся и по другую сторону Атлантики, так в 2020-м году более 1000 участников собрали учения Cyber Storm 2020. After action report доступен и, помимо всего прочего, содержит интересное описание сценария, который лег в основу учений. В соответствии с ним две хакерские группировки, спонсируемые иностранными государствами, разрабатывают набор инструментов для эксплуатации уязвимостей в ключевых сервисах интернета – DNS, BGP и CA. Разработанный инструментарий передается злоумышленникам с различной мотивацией, которые, в свою очередь, используют его для проведения кибератак на объекты критической информационной инфраструктуры.
А что у нас?
Не так давно стали проводиться отраслевые киберучения (банки, энергетика и др.). CTF-движение у нас хорошо развито, и подобные мероприятия проводятся довольно регулярно. Например, наша компания организует CTF-конкурс «Эшелонированная оборона», в котором в 2020-м году приняло участи более 100 команд.
Для отработки сценариев кибератак во всем мире активно применяется матрица MITRE ATT@CK, которая в структурированном виде представляет действия киберзлоумышленников и позволяет описать практически любую атаку. В России в начале года ФСТЭК России выпустил Методику оценки угроз безопасности информации, в приложении которой привел свое видение структуры действий злоумышленников. Эксперты нашей компании разработали и опубликовали маппинг перечня действий злоумышленников от ФСТЭК России на соответствующие действия в матрице MITRE ATT@CK.
Интересным трендом является использование в ходе отраслевых учений не просто сценария, включающего произвольные тактики и техники, а именно моделей реальных хакерских группировок, представляющих опасность для конкретной отрасли, например, APT Tonto и TA428 в случае учений на наукоемком производстве или Cobalt и Carbanak – в случае банковских учений. Для подготовки к проведению киберучений мы, для примера, сформировали прототип базы данных хакерских группировок, которые по данным из открытых источников атакуют цели именно на территории России: https://apt.etecs.ru/
В базу попадают кибергруппировки, которые, согласно отчетам по атрибуции, атакуют ресурсы на территории России.
Надеемся, что изучение данных материалов специалистами, отвечающими за безопасность объектов КИИ, будет полезно для повышения готовности к отражению кибератак.
