Киберучения

Киберучения (англ. Adversary Emulation) — процесс отработки навыков по выявлению компьютерных атак и/или реагированию на инциденты у специалистов в области информационной безопасности, а также их обучение использованию инструментов защиты систем. Целью учений также может быть проверка информационных систем на устойчивость к кибератакам.

В отличие от испытания на проникновение киберучения в первую очередь нацелены на проверку навыков персонала и проходят по согласованному сценарию^[1]. Считается, что киберучения ведут свою историю с турниров Capture the Flag, популярных среди студентов технических и военных вузов США^[2].

Классификация[править | править код]

Специалисты выделяют следующие типы киберучений:^[3]

по формату:[править | править код]

• теоретические (штабные учения, tabletop) — учения, направленные на обсуждение организационных задач и тренировку практики принятия управленческих решений;
• практические (функциональные, fulllive) — проведение опытных мероприятий с целью отработки разнообразных навыков по информационной безопасности. Часто проходят с проведением кибератак, во время которых участники отрабатывают практические действия по реагированию на инцидент;
• гибридные (комплексные, hybrid) — комбинация элементов теоретических и практических учений;

по цели проведения:[править | править код]

• отработка индивидуальных навыков и умений лично и в составе команд. Большинство таких киберучений реализуется в формате CTF, которые проводятся либо самостоятель¬но (Hack The Box^[4]), либо в рамках тематических конференций (DEFCON^[5], RSA Conference^[6]). В России к этому направлению относятся, например, международные киберучения Standoff. Подобные учения также могут проводиться в качестве квалификационных испытаний после завершения курсов по кибербезопасности (Cyber Battle of Estonia^[7], The Coalition Warrior Interoperability Exercise^[8] и другие);
• отработка вопросов взаимодействия государственных структур (чаще военных) с представителями частного сектора. В ряде стран для этой цели разрабатываются специальные долгосрочные программы, предполагающие проведение киберучений. Наиболее комплексный подход по данному направлению реализуется в США (так, при поддержке Киберкомандования США Мэрилендский институт инноваций и безопасности (MISI)^[9] организовал киберучения Hack The Building^[10]. Задача участников киберучений заключалась в том, чтобы проникнуть в полностью оборудованное «умное» здание площадью 150 000 квадратных футов, которое изображало вымышленную оборонную компанию;
• отработка тактических навыков и координация киберопераций в информационном пространстве. К киберучениям данного типа можно отнести LockedShields — одни из самых масштабных европейских киберучений, организатором которых выступает Киберцентр НАТО в Таллине.

по масштабу:[править | править код]

• объектные (отрабатывается атака на конкретное предприятие);
• отраслевые (для моделирования нападения на несколько компаний из одного сегмента);
• кросс-отраслевые;
• региональные, международные и межгосударственные.

по доступности:[править | править код]

• открытые (принять участие в киберучениях может любой желающий);
• закрытые (организатор приглашает ограниченное количество специалистов по информационной безопасности).

по уровню публичности:[править | править код]

• общедоступные (результаты киберучений публикуются в СМИ);
• корпоративные (киберучения на инфраструктуре компаний, результаты которых не публикуются в СМИ).

Участники киберучений[править | править код]

Команды, принимающие участие в киберучениях, именуются по цветам в зависимости от направления деятельности: «Красные» (Red Team, атакующие), «Синие» (Blue Team, защитники)^[11]. Расширенная версия классификации участников, включает также команды «Фиолетовых» (Purple Team), «Жёлтых» (Yellow Team), «Зелёных» (Green Team), «Оранжевых» (Orange Team) и «Белых» (White Team)^[12].

Красная команда[править | править код]

Основная статья: Red team^[en]

Группа специалистов по кибербезопасности (могут быть как самой компании или поставщика соответствующих услуг, так и независимыми исследователями безопасности), тестирующая информационную систему компании на уязвимость и имитирующая действия злоумышленников с помощью хакерских техник и тактик (в отличие от участников испытания на проникновение, которые используют стандартные инструменты пентестинга и проводят тест в краткие сроки). В некоторых исследованиях подчеркивается, что тестирование на проникновение является частью редтиминга^[13]. Другие названия специалистов «Красной команды» — «атакующие», «этичные» или «белые» хакеры^[14].

Сценарий действий «Красной команды» индивидуален и зависит от запросов заказчика и поставленных целей. Типичный процесс комплексной имитации атаки включает:

• тестирование на проникновение (в сеть, приложение, мобильный телефон и т. д.);
• социальную инженерию (попытка нарушения безопасности при помощи телефонных звонков, электронных рассылок и т. д.);
• физическое вторжение (взлом замков, обнаружение мертвых зон камер слежения и т. д.)^[13].

Синяя команда[править | править код]

Основная статья: Blue team^[en]

Группа специалистов по кибербезопасности, реагирующая на атаки «Красной команды», отслеживающая перемещения атакующих внутри инфраструктуры, расследующая инциденты, изучающая техники и тактики злоумышленников и нарабатывающая опыт предотвращения недопустимых событий. Как и «Красная команда», «Синяя команда» должна владеть знаниями о тактиках злоумышленников, техниках и процедурах, чтобы на их основании создавать стратегии реагирования.

Белая команда (White team)[править | править код]

Группа, наблюдающая за ходом киберучений, обеспечивающая соблюдение правил и оказывающая командам техническую поддержку. Белая команда также следит за тем, чтобы результаты киберучений корректно учитывались в соответствии с правилами подсчета очков. В эту группу могут входить авторы сценария киберучений, администраторы платформы киберполигона и специалисты с опытом организации киберучений.

Фиолетовая команда (Purple Team)[править | править код]

Команда специалистов по кибербезопасности, которая выполняет роль посредника между «Красной» и «Синей» командами. Эксперты данного профиля наблюдают за процессами атаки и защиты, комментируют и интерпретируют то, что происходит, и подсказывают решения обеим командам^[15]. Считается, что подключение к работе команды «Фиолетовых» позволяет проверить готовность Центра управления безопасностью (SOC) к отражению реальных атак и найти несовершенства в существующих правилах, процессах и процедурах реагирования^[15].

Жёлтая команда (YellowTeam)^[11][править | править код]

Команда специалистов, отвечающих в организации за разработку ПО, настройку инфраструктуры ИКТ, развертывание приложений и т. д.

Зелёная команда (GreenTeam)^[11][править | править код]

Группа специалистов, обеспечивающих связь между «Жёлтой» и «Синей» командами (так же, как «Фиолетовая команда» помогает взаимодействовать «Красной» и «Синей»). «Зеленая команда» отвечает за предоставление реалистичного сетевого трафика, журналов приложений и т. д.

Оранжевая команда (OrangeTeam)^[11][править | править код]

Группа специалистов, способствующих общению между «Красной» и «Жёлтой» командами.

Инфраструктура[править | править код]

Киберучения могут различаться по инфраструктуре, используемой для их проведения:

• учения на реальной инфраструктуре компании (в этом случае риски чаще всего реализуются условно, чтобы не нанести серьёзного ущерба компании);
• учения на киберполигонах — виртуальных тренировочных площадках, представляющих собой цифровые копии информационных систем организаций/отраслей/государств.

Состояние киберучений в Российской Федерации[править | править код]

В 2006 году на базе Уральского государственного университета прошли соревнования UralCTF^[16], с которых официально начинается история российских киберучений. В 2009 году тот же организатор провёл первые международные студенческие CTF-соревнования в России RuCTFE. В них участвовало 43 команды со всего мира. Соревнования проходили в режиме онлайн на протяжении 10 часов^[17].

Standoff[править | править код]

Международные киберучения Standoff проводятся российской компанией Positive Technologies с 2016 года. Ключевым отличием Standoff стала реалистичность игрового процесса: виртуальная страна, за ресурсы которой борются команды, представляет собой визуализацию цифровой реальности современной России^[18][19].

Соревнования проходят на киберполигоне Standoff 365, который является самым крупным в России^[20]. За всю историю в Standoff приняли участие более 1000 исследователей безопасности^[21]. В 2020 году мероприятие вошло в Книгу рекордов России как самые масштабные открытые киберучения^[22].

См. также[править | править код]

• Кибероружие
• Информационная война
• Кибершпионаж
• Компьютерный терроризм
• Кибервойна
• Red Hacker Alliance
• Каталог ANT (АНБ)

Примечания[править | править код]

Литература[править | править код]

на русском языке

• Овчинский В. С., Ларина Е. С. Кибервойны XXI века. О чём умолчал Эдвард Сноуден. — М.: Книжный мир, 2014. — 352 с. — ISBN 978-5-8041-0723-0.
• Шейн Харрис. Кибервойн@: Пятый театр военных действий = War: The Rise of the Military-Internet Complex. — М.: Альпина нон‑фикшн, 2016. — ISBN ISBN 978-5-9614-4112-3.
• Петренко А. А., Петренко С. А. Киберучения: методические рекомендации ENISA (рус.) // Вопросы кибербезопасности. — 2015. — № 3 (11). — С. 2—14.
• Метельков А. Н. Киберучения: зарубежный опыт защиты критической инфраструктуры // Правовая информатика. 2022. № 1. С. 51-60. ISSN: 1994—1404
• Сушкова Ю. А., Меркулова М. С. Киберучения. Проблемы российского интернета // Электронный вестник Ростовского социально-экономического института. 2015. № 3-4. С. 1025—1031.

на других языках

• Bodmer, Kilger, Carpenter, & Jones. Reverse Deception: Organized Cyber Threat Counter-Exploitation. — New York: McGraw-Hill Osborne Media, 2012. — ISBN 0-07-177249-9, ISBN 978-0-07-177249-5.
• Farwell, James F.; Rohozinski. Stuxnet and the future of cyberwar // Survival. — Vol. 53 (1). — doi:10.1080/00396338.2011.555586.
• Dorofeev A. V., Markov A. S. Conducting Cyber Exercises Based on the Information Security Threat Model // CEUR Workshop Proceedings. 2021. V. 3057. Р. 1-10. EDN: WRRTXC