Киберучения для новичков и опытных
На виртуальной площадке AM Live 26 января прошла конференция "Как правильно планировать и проводить технические киберучения". Как оказалось, данная форма тренингов персонала довольно популярна. Также проведение такой формы тренингов активно продвигают регуляторы, в частности ФСТЭК в приказе №139.
Как подчеркнула руководитель сервиса Jet CyberCamp "Инфосистемы Джет" Ольга Елисеева, в них нередко участвуют не только технические специалисты, но и сотрудники служб связей с общественностью и маркетинга. Тем более что злоумышленники, в отличие от потенциально атакуемых, оттачивают свои навыки регулярно.
Генеральный директор "Киберполигона" Лука Сафонов называет киберучения одним из лучших способов добиться, чтобы сотрудники знали, что им делать в час X и к кому обращаться. Причем такая задача стоит перед организациями любого размера.
CPO The Standoff Positive Technologies Ярослав Бабин видит одной из основных целей киберучений организацию взаимодействия как внутри ИБ-команды, так и персонала компании в целом. Хотя бывает и такое, что киберучения являются одной из форм тимбилдинга.
Технический директор компании "Перспективный мониторинг" (ГК "ИнфоТеКС") Александр Пушкин обращает внимание, что киберучения можно использовать в образовательных целях, причем как для обучения студентов профильных специальностей, так и для переподготовки кадров. По его оценке, удается достичь очень хороших результатов и при обучении операторов первой линии поддержки SOC. Среди них очень велика текучесть кадров, и готовить новых сотрудников, которые приходят практически с улицы, нужно регулярно.
Но при этом компаниям необходимо дорасти до того, чтобы проводить киберучения. Эту точку зрения высказал модератор конференции начальник службы информационной безопасности АО "СО ЕЭС" Лев Палей. Причем зрелость должна быть как технической, так и организационной. В такой форме тренинга, как подчеркнул технический директор Национального киберполигона "Ростелеком-Солар" Андрей Кузнецов, должна появиться потребность. Нужно выстроить техническую систему защиты и комплекс организационных мер. И только после этого надо учить ими пользоваться, что называется, "на кошках".
Но как только компания начинает проводить киберучения, встает вопрос, где их проводить? А вот с этим возникают сложности. Как поделился опытом Александр Пушкин, проводить их на реальной инфраструктуре бизнес-руководство не всегда разрешает. И для этого есть свои причины, тем более что меры реагирования могут привести даже к более серьезным отрицательным последствиям для бизнес-процессов компании, чем имитация инцидентов, за исключением разве что имитации фишинговых рассылок. Хотя, по мнению Луки Сафонова, имитация действий хакеров внутри реальной инфраструктуры также может нанести серьезный ущерб. Возможным компромиссом, предложенным Андреем Кузнецовым, может стать использование для киберучений элементов инфраструктуры, остановленных для плановых профилактических мероприятий или снятых с эксплуатации.
Но все же лучшим выходом является использование для киберучений специально созданных площадок - киберполигонов. Они могут размещаться как в облаке, так и в инфраструктуре заказчика. ГК "ИнфоТеКС" даже предлагает специальный программно-аппаратный комплекс, который можно использовать в данном качестве. Но в любом случае, и тут мнение всех участников совпало, вне зависимости от технической реализации, необходимо как можно более точно воспроизводить специфичные особенности каждого заказчика.
При этом в ходе киберучений необходимо максимально точно имитировать действия атакующих. Просто пытаться запускать разного рода эксплоиты или применять сканеры безопасности недостаточно. На стороне атакующих должна быть команда квалифицированных специалистов. Лука Сафонов также рекомендовал максимально быстро включать в сценарий учений актуальные угрозы, например, связанные с возможной эксплуатацией опасных уязвимостей вроде Log4j.