Киберучения
Киберучения (англ. Adversary Emulation) — процесс отработки навыков по выявлению компьютерных атак и/или реагированию на инциденты у специалистов в области информационной безопасности, а также их обучение использованию инструментов защиты систем. Целью учений также может быть проверка информационных систем на устойчивость к кибератакам.
В отличие от испытания на проникновение киберучения в первую очередь нацелены на проверку навыков персонала и проходят по согласованному сценарию[1]. Считается, что киберучения ведут свою историю с турниров Capture the Flag, популярных среди студентов технических и военных вузов США[2].
Классификация
[править | править код]Специалисты выделяют следующие типы киберучений:[3]
по формату:
[править | править код]- теоретические (штабные учения, tabletop) — учения, направленные на обсуждение организационных задач и тренировку практики принятия управленческих решений;
- практические (функциональные, fulllive) — проведение опытных мероприятий с целью отработки разнообразных навыков по информационной безопасности. Часто проходят с проведением кибератак, во время которых участники отрабатывают практические действия по реагированию на инцидент;
- гибридные (комплексные, hybrid) — комбинация элементов теоретических и практических учений;
по цели проведения:
[править | править код]- отработка индивидуальных навыков и умений лично и в составе команд. Большинство таких киберучений реализуется в формате CTF, которые проводятся либо самостоятель¬но (Hack The Box[4]), либо в рамках тематических конференций (DEFCON[5], RSA Conference[6]). В России к этому направлению относятся, например, международные киберучения Standoff. Подобные учения также могут проводиться в качестве квалификационных испытаний после завершения курсов по кибербезопасности (Cyber Battle of Estonia[7], The Coalition Warrior Interoperability Exercise[8] и другие);
- отработка вопросов взаимодействия государственных структур (чаще военных) с представителями частного сектора. В ряде стран для этой цели разрабатываются специальные долгосрочные программы, предполагающие проведение киберучений. Наиболее комплексный подход по данному направлению реализуется в США (так, при поддержке Киберкомандования США Мэрилендский институт инноваций и безопасности (MISI)[9] организовал киберучения Hack The Building[10]. Задача участников киберучений заключалась в том, чтобы проникнуть в полностью оборудованное «умное» здание площадью 150 000 квадратных футов, которое изображало вымышленную оборонную компанию;
- отработка тактических навыков и координация киберопераций в информационном пространстве. К киберучениям данного типа можно отнести LockedShields — одни из самых масштабных европейских киберучений, организатором которых выступает Киберцентр НАТО в Таллине.
по масштабу:
[править | править код]- объектные (отрабатывается атака на конкретное предприятие);
- отраслевые (для моделирования нападения на несколько компаний из одного сегмента);
- кросс-отраслевые;
- региональные, международные и межгосударственные.
по доступности:
[править | править код]- открытые (принять участие в киберучениях может любой желающий);
- закрытые (организатор приглашает ограниченное количество специалистов по информационной безопасности).
по уровню публичности:
[править | править код]- общедоступные (результаты киберучений публикуются в СМИ);
- корпоративные (киберучения на инфраструктуре компаний, результаты которых не публикуются в СМИ).
Участники киберучений
[править | править код]Команды, принимающие участие в киберучениях, именуются по цветам в зависимости от направления деятельности: «Красные» (Red Team, атакующие), «Синие» (Blue Team, защитники)[11]. Расширенная версия классификации участников, включает также команды «Фиолетовых» (Purple Team), «Жёлтых» (Yellow Team), «Зелёных» (Green Team), «Оранжевых» (Orange Team) и «Белых» (White Team)[12].
Красная команда
[править | править код]Основная статья: Red team[англ.]
Группа специалистов по кибербезопасности (могут быть как самой компании или поставщика соответствующих услуг, так и независимыми исследователями безопасности), тестирующая информационную систему компании на уязвимость и имитирующая действия злоумышленников с помощью хакерских техник и тактик (в отличие от участников испытания на проникновение, которые используют стандартные инструменты пентестинга и проводят тест в краткие сроки). В некоторых исследованиях подчеркивается, что тестирование на проникновение является частью редтиминга[13]. Другие названия специалистов «Красной команды» — «атакующие», «этичные» или «белые» хакеры[14].
Сценарий действий «Красной команды» индивидуален и зависит от запросов заказчика и поставленных целей. Типичный процесс комплексной имитации атаки включает:
- тестирование на проникновение (в сеть, приложение, мобильный телефон и т. д.);
- социальную инженерию (попытка нарушения безопасности при помощи телефонных звонков, электронных рассылок и т. д.);
- физическое вторжение (взлом замков, обнаружение мертвых зон камер слежения и т. д.)[13].
Синяя команда
[править | править код]Основная статья: Blue team[англ.]
Группа специалистов по кибербезопасности, реагирующая на атаки «Красной команды», отслеживающая перемещения атакующих внутри инфраструктуры, расследующая инциденты, изучающая техники и тактики злоумышленников и нарабатывающая опыт предотвращения недопустимых событий. Как и «Красная команда», «Синяя команда» должна владеть знаниями о тактиках злоумышленников, техниках и процедурах, чтобы на их основании создавать стратегии реагирования.
Белая команда (White team)
[править | править код]Группа, наблюдающая за ходом киберучений, обеспечивающая соблюдение правил и оказывающая командам техническую поддержку. Белая команда также следит за тем, чтобы результаты киберучений корректно учитывались в соответствии с правилами подсчета очков. В эту группу могут входить авторы сценария киберучений, администраторы платформы киберполигона и специалисты с опытом организации киберучений.
Фиолетовая команда (Purple Team)
[править | править код]Команда специалистов по кибербезопасности, которая выполняет роль посредника между «Красной» и «Синей» командами. Эксперты данного профиля наблюдают за процессами атаки и защиты, комментируют и интерпретируют то, что происходит, и подсказывают решения обеим командам[15]. Считается, что подключение к работе команды «Фиолетовых» позволяет проверить готовность Центра управления безопасностью (SOC) к отражению реальных атак и найти несовершенства в существующих правилах, процессах и процедурах реагирования[15].
Жёлтая команда (YellowTeam)[11]
[править | править код]Команда специалистов, отвечающих в организации за разработку ПО, настройку инфраструктуры ИКТ, развертывание приложений и т. д.
Зелёная команда (GreenTeam)[11]
[править | править код]Группа специалистов, обеспечивающих связь между «Жёлтой» и «Синей» командами (так же, как «Фиолетовая команда» помогает взаимодействовать «Красной» и «Синей»). «Зеленая команда» отвечает за предоставление реалистичного сетевого трафика, журналов приложений и т. д.
Оранжевая команда (OrangeTeam)[11]
[править | править код]Группа специалистов, способствующих общению между «Красной» и «Жёлтой» командами.
Инфраструктура
[править | править код]Киберучения могут различаться по инфраструктуре, используемой для их проведения:
- учения на реальной инфраструктуре компании (в этом случае риски чаще всего реализуются условно, чтобы не нанести серьёзного ущерба компании);
- учения на киберполигонах — виртуальных тренировочных площадках, представляющих собой цифровые копии информационных систем организаций/отраслей/государств.
Состояние киберучений в Российской Федерации
[править | править код]В 2006 году на базе Уральского государственного университета прошли соревнования UralCTF[16], с которых официально начинается история российских киберучений. В 2009 году тот же организатор провёл первые международные студенческие CTF-соревнования в России RuCTFE. В них участвовало 43 команды со всего мира. Соревнования проходили в режиме онлайн на протяжении 10 часов[17].
Standoff
[править | править код]Международные киберучения Standoff проводятся российской компанией Positive Technologies с 2016 года. Ключевым отличием Standoff стала реалистичность игрового процесса: виртуальная страна, за ресурсы которой борются команды, представляет собой визуализацию цифровой реальности современной России[18][19].
Соревнования проходят на киберполигоне Standoff 365, который является самым крупным в России[20]. За всю историю в Standoff приняли участие более 1000 исследователей безопасности[21]. В 2020 году мероприятие вошло в Книгу рекордов России как самые масштабные открытые киберучения[22].
См. также
[править | править код]- Кибероружие
- Информационная война
- Кибершпионаж
- Компьютерный терроризм
- Кибервойна
- Red Hacker Alliance
- Каталог ANT (АНБ)
Примечания
[править | править код]- ↑ Киберучения . Информзащита. Дата обращения: 2 декабря 2023. Архивировано 7 декабря 2023 года.
- ↑ Dan Lohrmann. Cyber Range: Who, What, When, Where, How and Why? (англ.). govtech.com (10 марта 2018). Дата обращения: 29 ноября 2023. Архивировано 7 декабря 2023 года.
- ↑ Теория и практика киберучений – опыт российского рынка ИБ . anti-malware.ru (17 марта 2021). Дата обращения: 30 ноября 2023. Архивировано 7 декабря 2023 года.
- ↑ The #1 cybersecurity upskilling platform (англ.). hackthebox.com. Дата обращения: 29 ноября 2023. Архивировано 28 ноября 2023 года.
- ↑ DEFCON (англ.). DEFCON (конференция). Дата обращения: 29 ноября 2023. Архивировано 30 апреля 2020 года.
- ↑ RSA Conference (англ.). rsaconference.com. Дата обращения: 29 ноября 2023. Архивировано 3 декабря 2023 года.
- ↑ Cyber Battle of Estonia 2022 (англ.). ctftech.com. Дата обращения: 29 ноября 2023. Архивировано 3 декабря 2023 года.
- ↑ CWIX 2021: NATO’s Premier Interoperability Exercise Goes Hybrid Across 10 Time Zones (англ.). act.nato.int (3 июня 2021). Дата обращения: 29 ноября 2023. Архивировано 23 февраля 2023 года.
- ↑ Linking Technology Unleashing Potential (англ.). misi.tech. Дата обращения: 29 ноября 2023. Архивировано 13 октября 2023 года.
- ↑ Hack The Building (англ.). hacktheport.tech. Дата обращения: 29 ноября 2023. Архивировано 7 декабря 2023 года.
- ↑ 1 2 3 4 Cyber-ranges as cybersecurity training environments (англ.). cyber-mar.eu. Дата обращения: 29 ноября 2023. Архивировано 7 декабря 2023 года.
- ↑ The Difference Between Red, Blue, and Purple Teams (англ.). danielmiessler.com. Дата обращения: 29 ноября 2023. Архивировано 4 марта 2022 года.
- ↑ 1 2 Red Teaming — комплексная имитация атак. Методология и инструменты . itnan.ru (20 октября 2020). Дата обращения: 29 ноября 2023. Архивировано 7 декабря 2023 года.
- ↑ Красная команда белых хакеров: как «взломщики» помогают бизнесу . cisoclub.ru (23 апреля 2020). Дата обращения: 29 ноября 2023. Архивировано 3 декабря 2022 года.
- ↑ 1 2 Purple Teaming: единство и борьба противоположностей . cisoclub.ru (17 октября 2022). Дата обращения: 29 ноября 2023. Архивировано 17 октября 2022 года.
- ↑ Первые CTF-соревнования в России UralCTF возвращаются в сентябре! CTF News (25 августа 2017). Дата обращения: 29 ноября 2023. Архивировано 7 декабря 2023 года.
- ↑ CTF в мире . ctfnews.ru. Дата обращения: 29 ноября 2023. Архивировано 7 декабря 2023 года.
- ↑ Positive Hack Days 2022 . cisoclub.ru. Дата обращения: 29 ноября 2023. Архивировано 26 мая 2022 года.
- ↑ Игра в хакера: как киберучения помогают обеспечивать информационную безопасность компаний . ТАСС. Дата обращения: 1 декабря 2023. Архивировано 27 января 2023 года.
- ↑ Positive Technologies представила онлайн-платформу The Standoff 365 для киберучений . CNews (15 ноября 2021). Дата обращения: 29 ноября 2023. Архивировано 7 декабря 2023 года.
- ↑ Ignat Chuker. The Standoff 365 открыл киберполигон . habr.com (19 июля 2022). Дата обращения: 29 ноября 2023.
- ↑ Встретимся на полигоне: как научиться защищать свою компанию от киберрисков . ТАСС (10 ноября 2020). Дата обращения: 29 ноября 2023. Архивировано 13 ноября 2020 года.
Литература
[править | править код]- на русском языке
- Овчинский В. С., Ларина Е. С. Кибервойны XXI века. О чём умолчал Эдвард Сноуден. — М.: Книжный мир, 2014. — 352 с. — ISBN 978-5-8041-0723-0.
- Шейн Харрис. Кибервойн@: Пятый театр военных действий = War: The Rise of the Military-Internet Complex. — М.: Альпина нон‑фикшн, 2016. — ISBN ISBN 978-5-9614-4112-3.
- Петренко А. А., Петренко С. А. Киберучения: методические рекомендации ENISA // Вопросы кибербезопасности. — 2015. — № 3 (11). — С. 2—14.
- Метельков А. Н. Киберучения: зарубежный опыт защиты критической инфраструктуры // Правовая информатика. 2022. № 1. С. 51-60. ISSN: 1994—1404
- Сушкова Ю. А., Меркулова М. С. Киберучения. Проблемы российского интернета // Электронный вестник Ростовского социально-экономического института. 2015. № 3-4. С. 1025—1031.
- на других языках
- Bodmer, Kilger, Carpenter, & Jones. Reverse Deception: Organized Cyber Threat Counter-Exploitation. — New York: McGraw-Hill Osborne Media, 2012. — ISBN 0-07-177249-9, ISBN 978-0-07-177249-5.
- Farwell, James F.; Rohozinski. Stuxnet and the future of cyberwar // Survival. — Vol. 53 (1). — doi:10.1080/00396338.2011.555586.
- Dorofeev A. V., Markov A. S. Conducting Cyber Exercises Based on the Information Security Threat Model // CEUR Workshop Proceedings. 2021. V. 3057. Р. 1-10. EDN: WRRTXC