Упреждающая защита: кому и зачем нужны учения в сфере информационной безопасности

Содержание:

• Кратный рост
• Скорость реагирования
• Три типа участников
• «Стратегические инвестиции»
• Вместе и раздельно

Кратный рост

По данным отчета ГК «Солар» (входит в экосистему «Ростелекома»), за 2023 год количество подозрений на ИБ-инциденты в российских компаниях увеличилось на 64%, до 1,5 млн. И хотя доля подтвержденных инцидентов снизилась с 3,5% до 2%, авторы отмечают, что массовые атаки стали сменяться точечными и продуманными ударами. К слову, за январь и неполный февраль текущего года аналитики уже видят существенный, более чем втрое, прирост доли атак высокой критичности. Это значит, что ИБ-инциденты становятся сложнее, а вредоносный софт – опаснее и незаметнее.

Стремительнее всего растет число атак, направленных на получение выгоды. Таковы данные исследования ИБ-компании F.A.C.C.T. за 2023 год. По сравнению с 2022-м их количество увеличилось на 160%, то есть более чем в 2,5 раза. У пострадавших компаний – в основном из сфер ритейла, промышленности, строительства, туризма и страхования – требуют в среднем по 53 млн руб. выкупа, максимально суммы доходили до 321 млн. Впрочем, большинство атак, считают авторы исследования, были политически мотивированными – их количество в 2023 году выросло более чем вдвое (на 116%) по сравнению с 2022-м.

Удивительное вероятное: какие технологические и научные открытия нас ждут в 2024 году

Следовательно, нет ничего удивительного в том, что российские ИБ-компании зафиксировали также кратный рост интереса к киберучениям в 2023 году по сравнению с 2022-м: от двух (Positive Technologies) до пяти (ГК «Солар») раз. Такие мероприятия, по словам экспертов, планируют проводить все больше российских компаний.

Речь не только о частном секторе. Этим инструментом как минимум с 2020-го активно пользуется, например, Центральный банк России. В прошлом году он внедрил новый сценарий – внеплановую «атаку» на подведомственные банки. А в нынешнем объявил о совместных трансграничных учениях с центральными банками стран БРИКС (с января этот список пополнился ОАЭ, Саудовской Аравией, Египтом, Ираном и Эфиопией).

Поскольку кибербезопасность относится к числу критически важных национальных интересов, киберучения регулярно проводятся и в регионах России. В частности, в 2023-м они состоялись в органах исполнительной власти около 30 российских регионов. В феврале 2024-го киберучения были проведены в Курской области – впервые в регионе.

Объем рынка киберучений

Аналитики HTF Market Intelligence подсчитали, что в 2023-м объем рынка киберучений в мире составил более $1,8 млрд. Предполагается, что он растет по крайней мере на 20% ежегодно и к 2030-му достигнет $5,6 млрд. С учетом стремительно развивающихся технологий многие компании попросту не знают о новых киберугрозах, и ситуация будет усугубляться, уверены в HTF Market Intelligence. Не говоря уже о том, что количество известных типов атак, таких как DDoS, фишинг и прочие, продолжает увеличиваться.

Со своей стороны, аналитическая компания Cybersecurity Ventures оценивает рынок обучения вопросам кибербезопасности только в 2023 году в $5,6 млрд. По ее прогнозам, уже к 2027-му он превысит $10 млрд.

Скорость реагирования

«Основная задача киберучений – повысить скорость реагирования на инциденты и их расследования», – объясняет «Профилю» Екатерина Рудая, менеджер продукта сервиса киберучений Jet CyberCamp ИТ-компании «Инфосистемы Джет». То есть речь идет о тренировке профильных специалистов, в результате которой они станут быстрее отрабатывать кибератаки и таким образом уменьшать вред от каждой из них. «Для улучшения навыков нужна работа со специализированными инструментами. Так, в ходе киберучений особый упор приходится на работу со средствами защиты, ИБ-процессами и профессиональными навыками», – добавляет Екатерина Рудая.

Эпоха постсмартфонов: какие необычные технологии представили на выставке CES-2024

Поскольку решать такую задачу только теоретическими методами невозможно (что нисколько не умаляет ее значимость), ИБ-компании совместно с представителями бизнеса или госструктур моделируют реальные действия злоумышленников. На специальном киберполигоне, который имитирует цифровую инфраструктуру предприятия (либо на реальной инфраструктуре), работают две команды: одна из них («красная», red team) атакует, вторая («синяя», blue team) – защищается. Дополнительными участниками могут быть команды администраторов (или арбитров), организаторов, исследователей, посредников; но базовые – именно атакующие и защищающие.

«На киберучениях сейчас оценивается около полутора десятков навыков, – рассказал Евгений Акимов, директор киберполигона ГК «Солар». – Это работа со средствами защиты, анализ артефактов, навыки по восстановлению системы, администрирования операционной системы, работа с сетевыми средствами защиты, харденинг (то есть повышение уровня защищенности. – «Профиль») систем. Количество проверяемых навыков постоянно увеличивается с учетом новых тактик и инструментов злоумышленников».

По итогам стандартных киберучений, как правило, оценивается от семи до девяти практических навыков, по процентной шкале шкале: от 0% до 100%. Это позволяет обратить внимание на сильные и слабые стороны участника и принять соответствующие решения: кого и на какие практико-ориентированные курсы по ИБ отправить.

Екатерина Рудая из компании «Инфосистемы Джет», в свою очередь, подчеркивает важность именно скорости реагирования и расследования инцидентов. «Эта метрика фиксируется на основе результатов практических заданий: их полноты и скорости прохождения. Помимо оценки практики, предусмотрены блоки с тестированием, которые помогают проверить теоретические знания. В конечном счете лучший метод оценки эффективности – успехи специалистов в выполнении рядовых рабочих задач», – заключает эксперт.

Три типа участников

Опыт проведения киберучений показывает, что основными их участниками становятся именно специалисты по информационной безопасности. «При этом в обработке инцидентов их численность около трети, тогда как две трети – это ИТ-специалисты, сетевые и доменные администраторы и другие. Можно прогнозировать, что в ближайшее время участников киберучений станет более релевантным, что еще больше увеличит эффективность обнаружения и отражения кибератак», – подчеркивает Евгений Акимов.

Переходящее знамя: каких успехов достигла российская ИТ-отрасль в 2023 году

Екатерина Рудая уточняет, что под киберучениями подразумевается несколько классов мероприятий, которые различаются уровнем и объемом навыков для освоения. Для профильных специалистов, например, упор делается на анализ журналов событий, работу со средствами защиты, исследование и составление таймлайна атаки и другие специализированные навыки.

«Кроме того, киберучения доступны разработчикам, системным администраторам, ответственным за DSO-процессы (связанные с безопасностью данных. – «Профиль»), а также другим специалистам, чьи рабочие обязанности не связаны с информационной безопасностью напрямую, но от которых зависят качество и процессы защиты и реагирования на инциденты».

Наконец, третий тип участников киберучений – это специалист широкого профиля, не относящийся к ИБ-процессам вообще. В основе таких учений лежат базовые принципы информационной безопасности: кибергигиена, реагирование на фишинговые письма, стандарты и политики информационной безопасности. Это, по словам Екатерины Рудой, позволяет повысить защищенность бизнеса от типовых атак, направленных на сотрудников.

Что такое киберполигон

Чтобы достоверно имитировать кибератаки и защиту от них, требуется сформировать соответствующую программно-аппаратную инфраструктуру. Команды оснащаются необходимым оборудованием (компьютеры, серверы), на которое установлено специализированное ПО, в том числе системы мониторинга и детекции уязвимостей.

Специфика «железа» и «софта» различается в зависимости от индустрии: инфраструктура телеком-компании будет заметно иной, нежели, например, у банка. Соответственно, под учения в разных компаниях требуются разные полигоны. Самые продвинутые варианты киберучений могут включать в себя создание цифрового двойника реального предприятия со всеми его уязвимостями.

Существует несколько вариантов размещения киберполигона. Он может быть внешним и располагаться за пределами ИТ-инфраструктуры компании. В этом случае компании предоставляется облачный доступ для работы в нем. Либо полигон может быть встроен в инфраструктуру, разумеется, с установкой всех необходимых барьеров, которые не позволят затронуть основные системы.

«Стратегические инвестиции»

Несмотря на то, что заинтересованность в таком формате ИБ-развития демонстрируют все больше российских компаний, подойти он может далеко не всем. Организация киберучений – дело непростое: нужны инфраструктура и высококлассные специалисты, в том числе «белые хакеры» (то есть те хакеры, которые взламывают ИТ-инфраструктуру с целью показать бреши и, соответственно, их закрыть). Все это требует денег, и немалых.

В погоне за чудом: как российская ИТ-индустрия справляется с вызовами рынка

Стоимость, разумеется, зависит от конкретного запроса и задач, но в любом случае счет будет идти на миллионы рублей. Соответственно, сразу отсеивается малый бизнес – ему придется доверяться готовым «коробочным» ИБ-решениям. Впрочем, он и объектами атак становится реже.

«Если в командах отсутствуют ИБ-процессы и средства защиты, киберучения будут избыточны и не помогут решить текущие вопросы, – утверждает Екатерина Рудая. – На учениях больший упор приходится на защиту инфраструктуры, работу с логами, нетиповые атаки через подрядчика. Небольшому бизнесу важно в первую очередь вложиться в грамотность специалистов в отношении ИБ».

Отсюда вытекает и второй аспект – наличие специализированной команды по информационной безопасности. В «Солар» уточнили, что для проведения киберучений в минимальном формате достаточно одной команды из пяти человек: «Данный формат является максимально универсальным и подходит практически для всех организаций, в которых есть служба ИБ. Если компания нацелена на развитие и долгосрочное присутствие на рынке, затраты на формирование киберустойчивости (к их числу относятся и киберучения) стоит рассматривать как стратегические инвестиции».

Вместе и раздельно

Существует мнение, что киберучения можно эффективно проводить внутри компании без привлечения внешних экспертов. Конечно, это зависит в том числе от того, что понимается под такими учениями, однако провести полноценное ИБ-мероприятие своими силами весьма сложно.

С одной стороны, нужен киберполигон, то есть ИТ-службе придется продублировать значительную часть цифровой инфраструктуры предприятия. В некоторых случаях допустимо проводить подобные эксперименты на реальной инфраструктуре, однако подойдет такое далеко не всем отраслям (например, на производстве от этого могут зависеть жизни людей, если удастся «случайно» взломать какой-нибудь промышленный станок).

С другой – необходимо несколько команд, соревнующихся между собой. Далеко не у каждой компании найдется нужное число профильных специалистов. Еще один аспект – предвзятость в оценке результатов: внутри компании может не быть достаточно объективных методик оценки проведенных учений. Соответственно, и принятые на основе таких учений решения окажутся недостаточно эффективными.

Разумеется, это не значит, что компаниям не нужно проводить внутренние мероприятия по информационной безопасности. Напротив, такие инициативы должны стать системными, причем в отношении как ИБ-специалистов, так и всего персонала, включая руководство. Однако собственно киберучениями они не являются.

Одна из задач киберучений – оценить своих специалистов извне. А также обеспечить их навыками работы с новыми угрозами, о которых они могут иметь теоретическое представление (в конце концов, ИБ-службы компаний постоянно обмениваются между собой актуальными сведениями об атаках), но не знать, как справиться на практике. Здесь уже своими силами не обойтись, да и нужно ли: командная работа в сфере ИБ в любом случае даст больший эффект.

Формат и метод учений

Стоит отметить, что единого понимания термина «киберучения», а соответственно, и классификатора не существует. Некоторые ИБ-специалисты различают их по интенсивности вовлечения сотрудников: от практических семинаров до полномасштабных учений. Другие – по типам, причем в этом случае «киберполигон» и «красная-синяя команды» могут относиться к разным типам. Третьи – по методу: теоретические учения (table top), практические (full live) или гибридные (hybrid). Зарубежный консалтинг также по отдельности рассматривает онлайн- и офлайн-учения.

Формат каждых киберучений зависит от специфики организации-клиента: какого размера компания, сколько в ней ИБ-команд, в какой отрасли (или отраслях) работает. И, наконец, от поставленных задач – проверить навыки специалистов, проверить их реакцию на новые угрозы в отрасли или все это вместе.

Отдельным трендом являются учения внутри компаний: все чаще собственные ИБ-службы направляют «вредоносные» письма сотрудникам для проверки, сколько из них и кто откроет вложенный файл и пройдет по ссылке.